Virus inconnu : cxma.exe, wkmst.exe
WhiteCrow
-
Teddy-Bear Messages postés 759 Statut Membre -
Teddy-Bear Messages postés 759 Statut Membre -
Bonjour tout le monde.
Alors je résume vite fait mes péripéties du jour.
J'ai installé ma freebox hier soir. Et pouf, depuis aujourd'hui, je suis infecté de partout, pourtant j'ai zone alarm et plusieurs antivirus qui s'étaient jusque là avérés efficaces sur l'ancienne connection (wanadoo).
J'ai été d'aaabord infecté par Elite Toolbar, ensuite par Preview AdService un truc dans le genre, apparemment supprimé avec hijackthis .
Mais j'ai toujours certains processus impossibles à virer, cxma.exe (j'ai recherché sur google, nada), qui serait un truc de [*Microsoft Update] (l'étoile me dit rien qui vaille), et depuis le dernier reboot, un wkmst.exe, lui avec [*windows update], donc même topo que cxma.exe.
Et windows update semble foirer.
Je comprends pas. Si je vire cxma.exe dans msconfig, il revient. Rien à faire avec hijackthis, j'ai besoin d'aide. Voici mon log :
Logfile of HijackThis v1.97.7
Scan saved at 19:24:24, on 02/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\Games\Soldier of Fortune II - Double Helix\SoF2mp_min.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WHITEC~1\LOCALS~1\Temp\Rar$EX00.265\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [*Microsoft Update] cxma.exe
O4 - HKLM\..\Run: [*windows update] wkmst.exe
O4 - HKLM\..\RunServices: [*Microsoft Update] cxma.exe
O4 - HKLM\..\RunServices: [*windows update] wkmst.exe
O4 - HKCU\..\Run: [*Microsoft Update] cxma.exe
O4 - Startup: SoF2mp_min.exe.lnk = E:\Games\Soldier of Fortune II - Double Helix\SoF2mp_min.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109782055421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37944.4733101852
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
Merci à ceux qui se pencheront sur mon problème :)
Alors je résume vite fait mes péripéties du jour.
J'ai installé ma freebox hier soir. Et pouf, depuis aujourd'hui, je suis infecté de partout, pourtant j'ai zone alarm et plusieurs antivirus qui s'étaient jusque là avérés efficaces sur l'ancienne connection (wanadoo).
J'ai été d'aaabord infecté par Elite Toolbar, ensuite par Preview AdService un truc dans le genre, apparemment supprimé avec hijackthis .
Mais j'ai toujours certains processus impossibles à virer, cxma.exe (j'ai recherché sur google, nada), qui serait un truc de [*Microsoft Update] (l'étoile me dit rien qui vaille), et depuis le dernier reboot, un wkmst.exe, lui avec [*windows update], donc même topo que cxma.exe.
Et windows update semble foirer.
Je comprends pas. Si je vire cxma.exe dans msconfig, il revient. Rien à faire avec hijackthis, j'ai besoin d'aide. Voici mon log :
Logfile of HijackThis v1.97.7
Scan saved at 19:24:24, on 02/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\Games\Soldier of Fortune II - Double Helix\SoF2mp_min.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WHITEC~1\LOCALS~1\Temp\Rar$EX00.265\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [*Microsoft Update] cxma.exe
O4 - HKLM\..\Run: [*windows update] wkmst.exe
O4 - HKLM\..\RunServices: [*Microsoft Update] cxma.exe
O4 - HKLM\..\RunServices: [*windows update] wkmst.exe
O4 - HKCU\..\Run: [*Microsoft Update] cxma.exe
O4 - Startup: SoF2mp_min.exe.lnk = E:\Games\Soldier of Fortune II - Double Helix\SoF2mp_min.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109782055421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37944.4733101852
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
Merci à ceux qui se pencheront sur mon problème :)
A voir également:
- Virus inconnu : cxma.exe, wkmst.exe
- Numero inconnu - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
4 réponses
salut
Preview AdService n'est pas désinstallé avec Hijackthis
tu dois aller dans Démarrer/panneauConfig/ajoutSuppressionProgrammes
sans doute idem avec eliteBar
sinon applique ceci
Elite Toolbar - à exécuter en mode sans échec ou mode VGA
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/EliteToolbar-Remover.shtml
http://www.majorgeeks.com/download4465.html
a+
Preview AdService n'est pas désinstallé avec Hijackthis
tu dois aller dans Démarrer/panneauConfig/ajoutSuppressionProgrammes
sans doute idem avec eliteBar
sinon applique ceci
Elite Toolbar - à exécuter en mode sans échec ou mode VGA
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/EliteToolbar-Remover.shtml
http://www.majorgeeks.com/download4465.html
a+
oui j'avais utilisé le remover pour elite toolbar, mais pas pour preview adservice.
là je viens de trouver une clé suspecte winservit, toujours rien dans google.
là je viens de trouver une clé suspecte winservit, toujours rien dans google.
bon je crois que c'est mort.
Mon winamp fonctionne plus, mes drivers souris se sont fait la malle, et la barre de titre dans applications pendant les 5 premieres minutes est old school, toute grise façon win95.
Mon winamp fonctionne plus, mes drivers souris se sont fait la malle, et la barre de titre dans applications pendant les 5 premieres minutes est old school, toute grise façon win95.
Bonjour ...
Deja il nous faudrai un log avec la derniere version d'Hijackthis (1.99.1)
a telecharger a cette adresse...:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Deja il nous faudrai un log avec la derniere version d'Hijackthis (1.99.1)
a telecharger a cette adresse...:
http://www.hijackthis.de/downloads/hijackthis_199.zip
