Virus matrix ou mtx

Fermé
Maxsharp - 30 mars 2005 à 12:07
 jordan - 2 avril 2007 à 19:26
Bonjour à tous,

Alors voila, j'ai deja eu plusieurs virus mais celui-ci impossible de l'enlever.
Tout d'abord l'antivirus ne le voit pas.
Description: fenetre windows qui reste toujours ouverte ou c écrit "VIRUS MATRIX bombe logique" par laurent alpha

Aucun site trouve comment l'enlever
A voir également:

21 réponses

maxsharp Messages postés 15 Date d'inscription mercredi 30 mars 2005 Statut Membre Dernière intervention 21 juin 2012 5
30 mars 2005 à 16:49
oui j'ai fait un scan avec trendmicro mais il a rien trouvé. J'ai scané avec avast, norton, adaware et spybot. Aucun resultat. Et tous mes fichiers .exe sont contaminé...
1
S'il vous plait aidez-moi

J'ai une photo du virus sur ce site :
http://membres.lycos.fr/justechno/virus.JPG
0
SALUT,
as tu fais un scan en ligne pour voir si il le detecter??
0
salut

Quand tu dis que tous tes exe sont contaminés, il se passe quoi quand tu essaye d'en ouvrir un ?

a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
toliman Messages postés 125 Date d'inscription vendredi 4 mars 2005 Statut Membre Dernière intervention 23 mars 2007 14
30 mars 2005 à 20:09
Salut à tous,

Maxsharp si ton système est w95/98/me, peut-être une réponse ici
en anglais :
http://service1.symantec.com/sarc/sarc.nsf/html/W95.MTX.html


Et le fix à télécharger là :

http://www.sarc.com/avcenter/venc/data/w95.mtx.fix.tool.html

Bonne chasse
0
maxsharp Messages postés 15 Date d'inscription mercredi 30 mars 2005 Statut Membre Dernière intervention 21 juin 2012 5
30 mars 2005 à 20:23
Non je tourne sur windows xp.

En fait en faisant ctrl + alt + del je peux fermer l'application mais quand j'ouvre n'importe quel programme donc un .exe ben la fenetre réapparait.
0
salut

telecharge ceci :
http://perso.wanadoo.fr/doc.jm/b1n/VirusBdRRepair.vbs
ca devrait réassocier correctement l'extension exe modifier par le virus
Puis telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
fais un copier coller du log entier sur le forum.

a+
0
Slt tout le monde,

je suis justement en train d'essayer de "réparer" le pc d'un collègue qui a chopé aussi cette mer*e...
je viens d'essayer la soluce de moe, mais sans succès :-(
Qq'un a une autre soluce ?... Hormis le "format c:" et on réinstalle tout ?....
Au passage, si le fier auteur de cette mer*e lit ces lignes, qu'il apprenne à écrire le français correctement avant de faire chi** le monde avec ses imbécilités !...
Et encore un mot : n'ouvrez pas ou n'exécutez pas naïvement les ficheirs que vous recevez, soyez sûrs de leur provenance, bon sang !
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
10 avril 2005 à 12:46
Désolé, j'ai fait une faute de frappe, les doigts qui boitent... j'ai tapé "ficheirs" au lieu de "fichiers"... voilà, c'est dit...
0
salut poolipooo

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
installe le sur le pc de ton collègue
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
fais un copier coller du log entier sur le forum.

a+
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
10 avril 2005 à 16:16
ok, c'est fait...
voici le log en question :


Logfile of HijackThis v1.99.1
Scan saved at 15:44:01, on 10/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\jle\LOCALS~1\Temp\maphotos.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\WINDOWS\autoclk.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\Program Files\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe


----------------------
dans ce cas précis, le fichier responsable était "maphotos.exe" que j'ai trouvé à la ligne 'C:\DOCUME~1\jle\LOCALS~1\Temp\maphotos.EXE' dans le log...
je l'ai donc effacé mais depuis, les exécutables ne s'exécutent plus !...
Que faire ?...
0
tu es pas mal infecté:
new net
webhancer
wild tengent
instant acces

Mais pour l'instant, on va s'occuper des exe.
En mode sans echecs

fixe celle là
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin

vide tout le contenu de:
C:\Documents and Settings\sur tout les comptes\Local Settings\Temp

redemarre et ensuite telecharge ce .reg qui va reassocier correctement l'extention exe
http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip
dezippe le et clic droit sur le fichier reg puis fusionner.

ensuite reposte un log hijackthis.

a+
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
10 avril 2005 à 17:18
OK, j'ai vidé les temp de chaque profil et ajouté la clé "xp_exe_fix" dans le registre... par contre, quand tu dis "fixe celle la : O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin ", qu'est-ce que je dois faire au juste ?...
En tout cas, maintenant les exécutables se lancent normalement, et pour ce qui est des autres infections, je vais surement lui faire un tour d'Ad-Aware, qu'est-ce que t'en penses ?
0
dsl, j'aurais du etre plus précis.
"fixer" en language hijackthis, ca veut dire cocher la case au début de la ligne puis valider en cliquant sur "fix checked" (en bas à droite).

reposte un log hijackthis, pour voir.

tu peut telecharger :
* Ad-aware:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.ordi-netfr.org/tutorialadaware.php
et surtout met le bien à jour(sinon ca sert à rien).

a+
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
10 avril 2005 à 17:27
Voilà le log hijackthis, je l'avais oublié :

Logfile of HijackThis v1.99.1
Scan saved at 16:53:44, on 10/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\autoclk.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\temporaire\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\fbc\LOCALS~1\Temp\2005410104028_mcinfo.exe /insfin
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /M "Stylus C44"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
0
telecharge ceci pour new.net
http://www.new.net/support/uninstall6_76.exe
et lance l'uninstall.
redemarre le pc et reposte un log.
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
12 avril 2005 à 13:08
OK, j'ai fait comme tu m'as dit.
J'ai ensuite scanné le PC avec Ad-Aware (mis à jour, forcément) et aussi avec Spybot search & destroy... Ca n'a pas été pour rien : plus de 170 objets détectés !...
En tous les cas, je lui ai installé un pare-feu à jour, un anti-virus à jour, et je lui ai rendu aujourd'hui une machine bien nettoyée !...
Un grand merci pour ton sérieux coup de main, moe !

@+
0
salut poolipooo

Domage que tu n'ai pas reposté un log hijackthis pour voir si vraiment tout était clean.
Mais bon si tout tourne comme il faut.. c'est l'essentiel

a+
0
poolipooo Messages postés 6 Date d'inscription dimanche 10 avril 2005 Statut Membre Dernière intervention 12 avril 2005
12 avril 2005 à 20:11
Oui je sais, mais je n'ai pas eu le temps...
il s'agissait du pc d'un collègue (débutant en la matière) et je devais lui rendre !
Mais de toutes façons, si quelque chose foire encore, il me le dira...
Le dernier scan hijackthis que j'ai fait avant de lui rendre m'avait l'air clean, au vu des infos que tu me donnais au fur et à mesure des logs que je postais... je pense que tout roule !
Encore merci, et peut-être à bientôt...
0
ok

a+ mais pas trop rapidement j'espère! LOL
0