Virus matrix ou mtxFermé

Question

Bonjour à tous,

Alors voila, j'ai deja eu plusieurs virus mais celui-ci impossible de l'enlever.
Tout d'abord l'antivirus ne le voit pas.
Description: fenetre windows qui reste toujours ouverte ou c écrit "VIRUS MATRIX bombe logique" par laurent alpha

Aucun site trouve comment l'enlever

maxsharp · Answer

S'il vous plait aidez-moiJ'ai une photo du virus sur ce site :http://membres.lycos.fr/justechno/virus.JPG

regis59 · Answer

SALUT,as tu fais un scan en ligne pour voir si il le detecter??

maxsharp · Answer

oui j'ai fait un scan avec trendmicro mais il a rien trouvé. J'ai scané avec avast, norton, adaware et spybot. Aucun resultat. Et tous mes fichiers .exe sont contaminé...

moe · Answer

salutQuand tu dis que tous tes exe sont contaminés, il se passe quoi quand tu essaye d'en ouvrir un ?a+

toliman · Answer

Salut à tous,

Maxsharp si ton système est w95/98/me, peut-être une réponse ici
en anglais :
http://service1.symantec.com/sarc/sarc.nsf/html/W95.MTX.html

Et le fix à télécharger là :

http://www.sarc.com/avcenter/venc/data/w95.mtx.fix.tool.html

Bonne chasse

maxsharp · Answer

Non je tourne sur windows xp.En fait en faisant ctrl + alt + del je peux fermer l'application mais quand j'ouvre n'importe quel programme donc un .exe ben la fenetre réapparait.

moe · Answer

salut

telecharge ceci :
http://perso.wanadoo.fr/doc.jm/b1n/VirusBdRRepair.vbs
ca devrait réassocier correctement l'extension exe modifier par le virus
Puis telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
fais un copier coller du log entier sur le forum.

a+

poolipooo · Answer

Slt tout le monde,

je suis justement en train d'essayer de "réparer" le pc d'un collègue qui a chopé aussi cette mer*e...
je viens d'essayer la soluce de moe, mais sans succès :-(
Qq'un a une autre soluce ?... Hormis le "format c:" et on réinstalle tout ?....
Au passage, si le fier auteur de cette mer*e lit ces lignes, qu'il apprenne à écrire le français correctement avant de faire chi** le monde avec ses imbécilités !...
Et encore un mot : n'ouvrez pas ou n'exécutez pas naïvement les ficheirs que vous recevez, soyez sûrs de leur provenance, bon sang !

poolipooo · Answer

Désolé, j'ai fait une faute de frappe, les doigts qui boitent... j'ai tapé "ficheirs" au lieu de "fichiers"... voilà, c'est dit...

moe · Answer

salut poolipooo

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
installe le sur le pc de ton collègue
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
fais un copier coller du log entier sur le forum.

a+

poolipooo · Answer

ok, c'est fait... voici le log en question :Logfile of HijackThis v1.99.1Scan saved at 15:44:01, on 10/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\system32\wuauclt.exeC:\WINDOWS\Explorer.EXEC:\DOCUME~1\jle\LOCALS~1\Temp\maphotos.EXEC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXEC:\Program Files\ahead\InCD\InCD.exeC:\WINDOWS\autoclk.exeC:\WINDOWS\System32\qttask.exeC:\Program Files\Multimedia Card Reader\shwicon2k.exeC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeC:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\system32\RUNDLL32.exeC:\Program Files\Samsung\Digimax Viewer 2.0\STImgBrowser.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:	mp\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet
ewdotnet6_38.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exeO4 - HKLM\..\Run: [autoclk] autoclk.exeO4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exeO4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -sO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMainO4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfinO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quietO4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccessO4 - Global Startup: Digimax Viewer 2.0.lnk = ?O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)O10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by WebHancerO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe----------------------dans ce cas précis, le fichier responsable était "maphotos.exe" que j'ai trouvé à la ligne 'C:\DOCUME~1\jle\LOCALS~1\Temp\maphotos.EXE' dans le log...je l'ai donc effacé mais depuis, les exécutables ne s'exécutent plus !...Que faire ?...

moe · Answer

tu es pas mal infecté:
new net
webhancer
wild tengent
instant acces

Mais pour l'instant, on va s'occuper des exe.
En mode sans echecs

fixe celle là
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin

vide tout le contenu de:
C:\Documents and Settings\sur tout les comptes\Local Settings\Temp

redemarre et ensuite telecharge ce .reg qui va reassocier correctement l'extention exe
http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip
dezippe le et clic droit sur le fichier reg puis fusionner.

ensuite reposte un log hijackthis.

a+

poolipooo · Answer

OK, j'ai vidé les temp de chaque profil et ajouté la clé "xp_exe_fix" dans le registre... par contre, quand tu dis "fixe celle la : O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin ", qu'est-ce que je dois faire au juste ?...
En tout cas, maintenant les exécutables se lancent normalement, et pour ce qui est des autres infections, je vais surement lui faire un tour d'Ad-Aware, qu'est-ce que t'en penses ?

moe · Answer

dsl, j'aurais du etre plus précis.
"fixer" en language hijackthis, ca veut dire cocher la case au début de la ligne puis valider en cliquant sur "fix checked" (en bas à droite).

reposte un log hijackthis, pour voir.

tu peut telecharger :
* Ad-aware:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.ordi-netfr.org/tutorialadaware.php
et surtout met le bien à jour(sinon ca sert à rien).

a+

poolipooo · Answer

Voilà le log hijackthis, je l'avais oublié :Logfile of HijackThis v1.99.1Scan saved at 16:53:44, on 10/04/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\WINDOWS\System32\FTRTSVC.exeC:\WINDOWS\system32\wuauclt.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Network Associates\Common Framework\UpdaterUI.exeC:\Program Files\ahead\InCD\InCD.exeC:\WINDOWS\System32\qttask.exeC:\WINDOWS\autoclk.exeC:\Program Files\Multimedia Card Reader\shwicon2k.exeC:\WINDOWS\system32undll32.exeC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeC:\WINDOWS\system32\RUNDLL32.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXEC:\WINDOWS\system32undll32.exeC:\Program Files\Samsung\Digimax Viewer 2.0\STImgBrowser.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:	emporaire\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet
ewdotnet6_38.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exeO4 - HKLM\..\Run: [autoclk] autoclk.exeO4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exeO4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -sO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMainO4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfinO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quietO4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccessO4 - Global Startup: Digimax Viewer 2.0.lnk = ?O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)O10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by WebHancerO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by WebHancerO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeO23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

moe · Answer

telecharge ceci pour new.nethttp://www.new.net/support/uninstall6_76.exeet lance l'uninstall.redemarre le pc et reposte un log.

poolipooo · Answer

OK, j'ai fait comme tu m'as dit.
J'ai ensuite scanné le PC avec Ad-Aware (mis à jour, forcément) et aussi avec Spybot search & destroy... Ca n'a pas été pour rien : plus de 170 objets détectés !...
En tous les cas, je lui ai installé un pare-feu à jour, un anti-virus à jour, et je lui ai rendu aujourd'hui une machine bien nettoyée !...
Un grand merci pour ton sérieux coup de main, moe !

@+

moe · Answer

salut poolipoooDomage que tu n'ai pas reposté un log hijackthis pour voir si vraiment tout était clean.Mais bon si tout tourne comme il faut.. c'est l'essentiela+

poolipooo · Answer

Oui je sais, mais je n'ai pas eu le temps...
il s'agissait du pc d'un collègue (débutant en la matière) et je devais lui rendre !
Mais de toutes façons, si quelque chose foire encore, il me le dira...
Le dernier scan hijackthis que j'ai fait avant de lui rendre m'avait l'air clean, au vu des infos que tu me donnais au fur et à mesure des logs que je postais... je pense que tout roule !
Encore merci, et peut-être à bientôt...

moe · Answer

ok a+ mais pas trop rapidement j'espère! LOL

jordan · Answer

tu veut savoir pourquoi tu peut pas lenlever parceque les virus matrix ne peut senlever sans formatage de plus il infecte les fichier pdf exe de plus tu a eu chaud o fesse car tu n a pas eu la version destructrice tu a eu que lanimasion qui ne bouissille presque rien moi jai la version destructrice donc je te di juste que tu peut formater ton pc car il est infecter matrix ou mtx et un worm et un trojan enfaite mtx tinfecte et a chaque fois que tenvoie un mail il lenvoie a tes pote de plus mtx ouvre une backdoor (une porte cacher) est ouvre comme port 1127 et comme sa tt le monde peut rentrer dans ton pc enfin je croi en mes connaisance je sais pas si ma version destructrice elle fai sa mas bon je sais pas comment tu pourrai lvirer

Virus matrix ou mtx

21 réponses

Discussions similaires

Newsletters