[Trojan] "Win32:TipSea"
Résolu
sim4444
Messages postés
19
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à tous,
j'ai un petit problème à vous divulguer! Avant de commençer voici ma configuration :
Windows 2000
et mon antivirus :
Avast! 4 Home Edition
Voilà mon problème :
Quand je scanne avec Avast! pour rechercher si il y a des virus, il trouve toujours le même virus : "Win32:TipSea". Puis, l'antivirus le supprime et tout va bien. Je redémarre mon ordi et c'est comme s'il avait rien fait. Le virus revient tout seul!
L'ennuie c'est que j'ai recherché si je pourrais trouver des précisions à propos de ce virus mais rien. J'ai pas trouvé un site qui parle de ce virus, en tk de ce nom de virus. J'ai même essayer de scanner avec Antivir, AVG, Secuser.com, RavAntivirus.com, BitDefender mais rien. Tous ces antivirus ne trouvent absolument rien!
À propos du virus :
Il créé deux fichiers qu'il place dans le dossier C:\WINNT\...
J'ai remarqué que les fichiers sont toujours formé de la façon suivante :
Le premier est toujours constitué de 7 lettres (sans l'extension .exe) et se terminent toujours par dll.exe
Le deuxième est toujours constitué lui aussi de 7 lettres (sans l'extension .exe) et se terminent toujours par enc.exe
Par exemple, un moment donné ils se sont appellés oybrdll.exe et hjhbenc.exe ou une autre fois rreedll.exe et rreeenc.exe
Je vous avoue que je ne sais plus quoi faire pour réparer le virus et pour l'éradiquer pour de bon. J'ai aussi essayé de l'enlever moi-même en terminant le processus, en enlevant les deux fichiers du répertoire C:\WINNT\... et en enlevant les clés du registres mais ça ne marche pas non plus. J'ai supprimé tous les cookies, le dossier Temp et aussi le dossier Temporary Internet Files mais ça ne marche pas non plus!! Il revient tout le temps... Je trouve pas le fichier qui ne cesse pas de le remettre.
Je suis ouvert à toutes vos suggestions et merci à l'avance à tous ceux qui n'hésiteront pas à suggérer une idée à mon problème...
sim4444
j'ai un petit problème à vous divulguer! Avant de commençer voici ma configuration :
Windows 2000
et mon antivirus :
Avast! 4 Home Edition
Voilà mon problème :
Quand je scanne avec Avast! pour rechercher si il y a des virus, il trouve toujours le même virus : "Win32:TipSea". Puis, l'antivirus le supprime et tout va bien. Je redémarre mon ordi et c'est comme s'il avait rien fait. Le virus revient tout seul!
L'ennuie c'est que j'ai recherché si je pourrais trouver des précisions à propos de ce virus mais rien. J'ai pas trouvé un site qui parle de ce virus, en tk de ce nom de virus. J'ai même essayer de scanner avec Antivir, AVG, Secuser.com, RavAntivirus.com, BitDefender mais rien. Tous ces antivirus ne trouvent absolument rien!
À propos du virus :
Il créé deux fichiers qu'il place dans le dossier C:\WINNT\...
J'ai remarqué que les fichiers sont toujours formé de la façon suivante :
Le premier est toujours constitué de 7 lettres (sans l'extension .exe) et se terminent toujours par dll.exe
Le deuxième est toujours constitué lui aussi de 7 lettres (sans l'extension .exe) et se terminent toujours par enc.exe
Par exemple, un moment donné ils se sont appellés oybrdll.exe et hjhbenc.exe ou une autre fois rreedll.exe et rreeenc.exe
Je vous avoue que je ne sais plus quoi faire pour réparer le virus et pour l'éradiquer pour de bon. J'ai aussi essayé de l'enlever moi-même en terminant le processus, en enlevant les deux fichiers du répertoire C:\WINNT\... et en enlevant les clés du registres mais ça ne marche pas non plus. J'ai supprimé tous les cookies, le dossier Temp et aussi le dossier Temporary Internet Files mais ça ne marche pas non plus!! Il revient tout le temps... Je trouve pas le fichier qui ne cesse pas de le remettre.
Je suis ouvert à toutes vos suggestions et merci à l'avance à tous ceux qui n'hésiteront pas à suggérer une idée à mon problème...
sim4444
A voir également:
- [Trojan] "Win32:TipSea"
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Win32:malware-gen ✓ - Forum Virus
- Puabundler win32 candyopen - Forum Virus
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
8 réponses
salut,
Avec Avast programme un "scann au demarrage"
Avast va redemarrer ton ordi et commencer l'scann ensuite s'il trouve des virus ou trojans, tu les supprimes.
Bye
Avec Avast programme un "scann au demarrage"
Avast va redemarrer ton ordi et commencer l'scann ensuite s'il trouve des virus ou trojans, tu les supprimes.
Bye
Salut Car,
je te remercie pour cette idée mais ca ne marche pas plus. L'ordinateur redémarre, l'antivirus fait son scanne au boot, il trouve les deux fameux fichiers virus qui reviennent tout le temps et je choisie de les supprimer. Puis, on me confirme qu'ils ont été supprimés, je redémarre et ils reviennent...
On dirait vraiment qu'il y a un autre programme qui les remet tout le temps, sauf qu'il faut mette notre main dessus... et c'est évidemment le plus dur puisqu'aucun antivirus trouve autre chose... Et petite précision : seulement Avast! les trouvent... tous les autres antivirus que j'ai essayé les trouvent pas...
En passant, j'ai regardé mes processus un par un et j'ai recherché sur internet pour chacun qu'est ce qu'ils faisaient... Mais il y en a que j'ai rien trouvé sur eux, les voici (et ces processus ne changent jamais de nom...) :
- naviagent.exe (C:\Program Files\VeriSign\NAVI) Unknown
- NAVICL~1.EXE (C:\Program Files\VeriSign\NAVI) Unknown
- xaylsvc.exe Unknown
- cmappclient.exe (C:\Program Files\CMAPP\Client\cmappclient.exe)
- ClientShell.exe Unknown
Une autre chose, j'ai réussi a scanner avec l'antivirus en ligne Secuser.com qui utilise d'ailleurs des contrôles ActiveX pour pouvoir fonctionner. Et lorsque j'ai essayé de scanner mon ordi avec celui de Northon (www.symantec.com) (son antivirus en ligne...) ca dit que les contrôles ne peuvent pas s'installer et ca dit de vérifier s'ils sont acceptés. Je suis allé voir et ils le sont...
Bon si quelqu'un a une autre solution, qu'il n'hésite pas a m'en faire part! Merci!
sim4444
je te remercie pour cette idée mais ca ne marche pas plus. L'ordinateur redémarre, l'antivirus fait son scanne au boot, il trouve les deux fameux fichiers virus qui reviennent tout le temps et je choisie de les supprimer. Puis, on me confirme qu'ils ont été supprimés, je redémarre et ils reviennent...
On dirait vraiment qu'il y a un autre programme qui les remet tout le temps, sauf qu'il faut mette notre main dessus... et c'est évidemment le plus dur puisqu'aucun antivirus trouve autre chose... Et petite précision : seulement Avast! les trouvent... tous les autres antivirus que j'ai essayé les trouvent pas...
En passant, j'ai regardé mes processus un par un et j'ai recherché sur internet pour chacun qu'est ce qu'ils faisaient... Mais il y en a que j'ai rien trouvé sur eux, les voici (et ces processus ne changent jamais de nom...) :
- naviagent.exe (C:\Program Files\VeriSign\NAVI) Unknown
- NAVICL~1.EXE (C:\Program Files\VeriSign\NAVI) Unknown
- xaylsvc.exe Unknown
- cmappclient.exe (C:\Program Files\CMAPP\Client\cmappclient.exe)
- ClientShell.exe Unknown
Une autre chose, j'ai réussi a scanner avec l'antivirus en ligne Secuser.com qui utilise d'ailleurs des contrôles ActiveX pour pouvoir fonctionner. Et lorsque j'ai essayé de scanner mon ordi avec celui de Northon (www.symantec.com) (son antivirus en ligne...) ca dit que les contrôles ne peuvent pas s'installer et ca dit de vérifier s'ils sont acceptés. Je suis allé voir et ils le sont...
Bon si quelqu'un a une autre solution, qu'il n'hésite pas a m'en faire part! Merci!
sim4444
, télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dézippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lancez le puis:
clic sur "do a system scan and save logfile" (cf demo)
faire un copier coller du log entier sur le forum
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dézippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lancez le puis:
clic sur "do a system scan and save logfile" (cf demo)
faire un copier coller du log entier sur le forum
Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut regis59,
voici le log de HijackThis tel quel comme tu me l'as demandé :
Logfile of HijackThis v1.99.1
Scan saved at 12:38:54, on 2005-07-25
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\xaylsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Avast4\ashWebSv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\tp4mon.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\D-Link AirPlus Xtreme G\AirPlus.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\Synchrologic\ClientShell.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\CMAPP\Client\cmappclient.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.ca/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.104.210:80
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pqscdll] C:\WINNT\pqscdll.EXE
O4 - HKLM\..\Run: [sauienc] C:\WINNT\sauienc.EXE
O4 - HKLM\..\Run: [tqejdll] C:\WINNT\tqejdll.EXE
O4 - HKLM\..\Run: [tqejenc] C:\WINNT\tqejenc.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CMAPP] "C:\Program Files\CMAPP\Client\cmappclient.exe"
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Program Files\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: Synchrologic Client.lnk = C:\Program Files\Synchrologic\ClientShell.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\PLUGINS\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINNT\xaylsvc.exe
NOTE : les deux fichiers du virus cette fois-ci (puisqu'ils changent de nom a chaque fois qu'on les supprime et qu'on redémarre l'ordinateur...) sont :
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
Merci a l'avance et bonne chance pour trouver ce fameux virus!!
sim4444
voici le log de HijackThis tel quel comme tu me l'as demandé :
Logfile of HijackThis v1.99.1
Scan saved at 12:38:54, on 2005-07-25
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\xaylsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Avast4\ashWebSv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\tp4mon.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\D-Link AirPlus Xtreme G\AirPlus.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\Synchrologic\ClientShell.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\CMAPP\Client\cmappclient.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.ca/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.104.210:80
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pqscdll] C:\WINNT\pqscdll.EXE
O4 - HKLM\..\Run: [sauienc] C:\WINNT\sauienc.EXE
O4 - HKLM\..\Run: [tqejdll] C:\WINNT\tqejdll.EXE
O4 - HKLM\..\Run: [tqejenc] C:\WINNT\tqejenc.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CMAPP] "C:\Program Files\CMAPP\Client\cmappclient.exe"
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Program Files\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: Synchrologic Client.lnk = C:\Program Files\Synchrologic\ClientShell.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\PLUGINS\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eDentsply.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AC13537-0CDD-41A5-96C1-B981CE538034}: NameServer = 120.164.206.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINNT\xaylsvc.exe
NOTE : les deux fichiers du virus cette fois-ci (puisqu'ils changent de nom a chaque fois qu'on les supprime et qu'on redémarre l'ordinateur...) sont :
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
Merci a l'avance et bonne chance pour trouver ce fameux virus!!
sim4444
Bonjour,
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.104.210:80
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
Ici tu retrouvera (comme tu me dis qu il change a chaque redemarrage sous cette forme identique)
O4 - HKLM\..\Run: [pqscdll] C:\WINNT\pqscdll.EXE
O4 - HKLM\..\Run: [sauienc] C:\WINNT\sauienc.EXE
O4 - HKLM\..\Run: [tqejdll] C:\WINNT\tqejdll.EXE
O4 - HKLM\..\Run: [tqejenc] C:\WINNT\tqejenc.EXE
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINNT\xaylsvc.exe
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
C:\WINNT\pqscdll.EXE
C:\WINNT\sauienc.EXE
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
C:\WINNT\xaylsvc.exe
----------------------------------------------------------------------------
¤Arrete ces services :
Click sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: Service: Windows VisFx Components
Règle-le sur "Arrêté" et "Désactivé".
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.104.210:80
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
Ici tu retrouvera (comme tu me dis qu il change a chaque redemarrage sous cette forme identique)
O4 - HKLM\..\Run: [pqscdll] C:\WINNT\pqscdll.EXE
O4 - HKLM\..\Run: [sauienc] C:\WINNT\sauienc.EXE
O4 - HKLM\..\Run: [tqejdll] C:\WINNT\tqejdll.EXE
O4 - HKLM\..\Run: [tqejenc] C:\WINNT\tqejenc.EXE
O23 - Service: Windows VisFx Components - Unknown owner - C:\WINNT\xaylsvc.exe
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
C:\WINNT\pqscdll.EXE
C:\WINNT\sauienc.EXE
C:\WINNT\tqejdll.EXE
C:\WINNT\tqejenc.EXE
C:\WINNT\xaylsvc.exe
----------------------------------------------------------------------------
¤Arrete ces services :
Click sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: Service: Windows VisFx Components
Règle-le sur "Arrêté" et "Désactivé".
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
Salut à toi, regis59.
Lorsque j'ai fait ta procédure, le virus revenait encore!... :( Donc j'ai passer les dossiers un par un, et j'ai tombé sur un certain asys, plus précisément : C:\Program Files\asys\...
C'est que le fameux fichier qui remettait tout le temps le virus était. Sauf que sans ton aide ça n'aurait pas marché puisque je n'avais pas pensé à enlever C:\WINNT\xaylsvc.exe qui lui aussi changait tout le temps de nom mais il finissait toujours par svc.exe donc c'était beaucoup plus facile de le trouver!!
Donc je voulais te remercier ta réponse à très bien marchée!
Merci encore et pt à bientôt! :D
sim4444
Lorsque j'ai fait ta procédure, le virus revenait encore!... :( Donc j'ai passer les dossiers un par un, et j'ai tombé sur un certain asys, plus précisément : C:\Program Files\asys\...
C'est que le fameux fichier qui remettait tout le temps le virus était. Sauf que sans ton aide ça n'aurait pas marché puisque je n'avais pas pensé à enlever C:\WINNT\xaylsvc.exe qui lui aussi changait tout le temps de nom mais il finissait toujours par svc.exe donc c'était beaucoup plus facile de le trouver!!
Donc je voulais te remercier ta réponse à très bien marchée!
Merci encore et pt à bientôt! :D
sim4444
