Mouse.exe et ccApp.exe [Résolu/Fermé]

Signaler
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008
-
 Sofy -
Bonjour !

J'ai acces à internet depuis peu, et cela m'apporte son lot de petits soucis. Il y en a que j'ai réussi à résoudre (grace à ce forum !) mais d'autres résistent.
J'ai Norton System works 2003, ZoneAlarm, Spybot 1.3, Ad-Aware 1.05.
(d'ailleurs dois-je télécharger les dernière versions?)

Au démarrage, ZA me mets des messages comme quoi mouse.exe puis ccApp.exe tentent de se connecter à Internet, ce que je refuse. (J'ai aussi eu une fois wcescomm.exe, nmain.exe et studio.exe). Quel est le problème ?

Jejoins mon log de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 13:19:21, on 05/08/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe
C:\WINNT\System32\hotkey.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINNT\System32\hlax.exe
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\DOCUME~1\Delphine\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adsl.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Utilitaires\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hotkey] hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\Utilitaires\REGSHAVE\Regshave.exe /autorun
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ZoneEdit] C:\WINNT\System32\hlax.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Hibernation - Unknown owner - C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Merci de votre aide !

18 réponses


coucou
fais analyser cela stp
C:\WINNT\System32\hlax.exe

tu va sur ce site
http://virusscan.jotti.org/
clik sur parcourir et met C:\WINNT\System32\hlax.exe
clik submit et met moi le rapport stp
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

voila le rapport... C'est pas bon hein !

merci d'avance.


File: hlax.exe
Status: INFECTED/MALWARE
MD5 49f2e3141871656764b8ba07ecc1c3eb
Packers detected: PE_PATCH
Scanner results
AntiVir Found Worm/Mydoom.S2
ArcaVir Found Trojan.Dropper.Agent.Mm
Avast Found nothing
AVG Antivirus Found Dropper.Agent.EX
BitDefender Found Trojan.Dropper.Agent.MM
ClamAV Found Trojan.Delf-48
Dr.Web Found Trojan.MulDrop.2461
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Agent.mm
NOD32 Found nothing
Norman Virus Control Found W32/Agent.FJI
UNA Found TrojanDropper.Win32.Agent
VBA32 Found Trojan-Dropper.Win32.Agent.mm

Bonjour,

Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html

Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :

O4 - HKLM\..\Run: [ZoneEdit] C:\WINNT\System32\hlax.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab

----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)

C:\WINNT\System32\hlax.exe

----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack


Précise tes soucis si il en restes....

Tiens moi au courant

a+
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

Ca a été long mais cette fois pas de connection de mouse.exe au démarrage.
En revanche, spybot n'arrive toujours pas à réparer cette clé :
HKEY_LOCAL_MACHINE\Software\ISTbar
et quand j'y vais manuellement, il y a encore une arborescence "historyfiles" ou "historystring" donc je n'ose pas y toucher.

Voici le nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 16:58:38, on 07/08/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe
C:\WINNT\System32\hotkey.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\PROGRA~1\UTILIT~1\WinZip\winzip32.exe
C:\DOCUME~1\Delphine\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adsl.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Utilitaires\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hotkey] hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\Utilitaires\REGSHAVE\Regshave.exe /autorun
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\program files\utilitaires\palm\INetRepl.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Hibernation - Unknown owner - C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ca avance !
Merci !

delphine

coucou
tu vas ds regedit
tu suis le chemin
HKEY_LOCAL_MACHINE\Software\ISTbar
et tu clik droit sur istbar (te trompe pas surtout !) et supprime

a+
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

recoucou

quand j'essaie de supprimer, il me dit que c'est impossible :"erreur dans la suppression de la clé"...

Et mon log ca va ?

en tout cas, merci pour tout le temps que tu passes à dépanner de pauvres petits internautes en détresse !!

delphine

re,
oui ton log impec ^^
Passe en mode sans echec, et passe spybot pour voir

a+
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
323
salut ouvre le bloc note et copie colle ceci entre les etoiles
*********
regedit4

[-HKEY_LOCAL_MACHINE\Software\ISTbar]

********
enregistre le sur ton bureau donne lui comme nom fix.reg
dans type met tous fichiers important
ensuite vas sur ton bureau double clik sur le fichier que tu vient de faire et confirme
la redemarre et regarde si il la trouve encore
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

bonsoir !

j'ai pas tout compris : j'ai bien réussi à créer ce fichier dans mon bureau, mais quand je le rouvre, que dois-je confirmer ?
Je ne dois pas le supprimer à un moment donné ? Je relance Spybot ?

merci de ta réponse

delphine
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
323
tu ne doit pas l ouvrir mais double cliker dessus et cela doit te demander de fusionner avec le registre
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

quand je double-clique dessus, le fichier s'ouvre, on ne me propose pas de fusionner.

Pour répondre à Régis, j'ai essayé en mode sans échec... sans succès.

On va y arriver !
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
323
tu la bien enregistrer avec comme nom fix.reg
et mis tous fichiers dans type
l icone de se fichier ressemble a des petit carreau
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

je m'étais plantée dans le nom de fichier ; )
mais maintenant quand je veux fusionner il me dit que c'est impossible car le fichier n'est pas un script du registre.
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
323
oki
suivant les windows c est different
clik droit sur se fichier et clik sur modifier et met ceci Windows Registry Editor Version 5.00
a la place de regedit4

ensuite clik sur enregistrer et double clik a nouveau dessus

je crois que ca marche pas si regedit4 est ecrit en minuscule
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

ca a marché avec la 2e solution...
mais la clé est toujours la et je n'arrive toujours pas à la supprimer.
je relance Spybot, on vera.
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
323
tu as redemarrer pour que cela soit pris encompte
Messages postés
29
Date d'inscription
vendredi 5 août 2005
Statut
Membre
Dernière intervention
22 juillet 2008

oui j'ai redémarré, et spybot non plus n'arrive pas à la supprimer.
Mais je vais aller me coucher, j'ai une grosse journée demain.
J'espère qu'on arrivera à en venir à bout.
Merci

à+
delphine
Bonjour,
J'ai le meme pb avec ccApp.exe ?
Qui peut m'aider ?
Merci
Sofy