Isass.exe, jkhiig.dll, trojan ASPX JSWin32
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
C'est la 1ere fois que je rédige un message sur un site d'entraide à propos des virus. Je me suis toujours débrouillé pour régler les problèmes en consultant les réponses des internautes mais là.......... je suis bloqué, de chez bloqué et çà me fait bien flipper...
MON PROBLEME
[je suis sous windows XP PRO]
Un jour, Avast Antivirus version, 5.0.545, m'a bloqué un virus, Isass.exe et il me parlait aussi de jkhiig.dll. C'était une alerte en boucle, Avast m'affichait ces messages d'alerte toutes les secondes...
J'ai programmé un scanner antivirus AVAST juste avant le démarrage de windows (celui qui se lance sur écran bleu). Il m'a trouvé les fichiers infectés, mais impossible de les mettre en quarantaine, je ne pouvais que les supprimer. Alors, j'ai supprimé (erreur?).
Puis, au redémarrage, j'ai eu un message d'erreur:
"RUN DLL : erreur de chargement de jkhiig.dll Le module spécifié est introuvable."
Puis quelques jours après, RUN DLL : "erreur de chargement C:\Documents", est arrivé.
C'est là que je me suis rendu compte qu'avast était désactivé! et impossible de le réactiver par quelque moyen que ce soit.
Le temps que j'aille sur internet pour régler le problème....tout s'est enchaîné..... "protection center" de windows s'est activé. Il m'a dit qu'aucun anti virus était actif sur le pc et que c'était dangereux pour résumer. Puis j'ai eu des messages dans la barre des tâches....:
"DANGER! a security threat detected on your computer. trojan ASPX JSWin32. It strongly recommended to remove this threat right now. Click on the message to remove it."
J'ai cliqué, çà m'a lancé "protection center installer", il m'a demandé d'installer le programme pour supprimer des trojans et divers virus listés sur une fenêtre. Impossible d'annuler, je ne pouvais que cliquer sur OK.
Et la manip Ctrl Alt Suppr ne fonctionne plus "le gestionnaire des tâches a été désactivé par l'administrateur".
Ensuite, un autre message est arrivé:
"DANGER! puis unauthorized persons try to steal your passwords and private information. Click on the message to prevent identity theft."
Là, j'ai flippé, et je flippe toujours. J'ai immédiatement débranché internet.
J'ai désinstallé avast qui ne répondait plus. J'ai réinstallé avast 5.0.
Alors que j'étais hors ligne., les 2 messages précédant "DANGER" ont continué de s'afficher toutes les 10 secondes.
Puis des icônes de raccourcis vers des sites porno ont été généré sur mon bureau! avec des fichiers .exe "troj000.exe" "spam003.exe" "spam001.exe".
J'ai beau les supprimer, ils se régénèrent automatiquement...
Donc, suite à cela, je me suis reconnecté à internet. Avast s'est mis à jour.
Je précise que spybot et malwarebytes ne peuvent plus se lancer, windows les bloquent ou les virus les bloquent plutôt, je pense...
Au moment, où je vous écris, avast me fait un scanner minutieux de mon pc, et RAS quant à présent! (3/4 du scan).... et c'est pas normal.
Les messages DANGER! continuent de s'afficher, mais j'ai de la chance, j'ai accès à toutes les fonctions de mon pc... pour l'instant.
Je précise aussi que l'espace libre de mon disque C s'est vidé... Je n'ai quasiment plus de place.
Mais, j'ai récupéré de l'espace libre quand les virus se sont manifestés (création d'icônes, messages DANGER etc)
J'ai tenté d'exécuter les instructions trouvées sur votre site, mais en vain, je n'ai pas trouvé Isass.exe dans la base de registre HKEY LOCAL MACHINE par exemple...
Au moment où j'allais envoyé ce message, un compte à rebours s'est affiché, 30 sec pour enregistrer mes travaux... Au redémarrage de windows, un écran bleu d'une fraction de seconde est apparu, puis redémarrage, puis écran bleu etc etc :(
(j'ai fini mon message sur un autre pc...)
Comment pouvez m'aider SVP?
Merci beaucoup pour votre réponse.
C'est la 1ere fois que je rédige un message sur un site d'entraide à propos des virus. Je me suis toujours débrouillé pour régler les problèmes en consultant les réponses des internautes mais là.......... je suis bloqué, de chez bloqué et çà me fait bien flipper...
MON PROBLEME
[je suis sous windows XP PRO]
Un jour, Avast Antivirus version, 5.0.545, m'a bloqué un virus, Isass.exe et il me parlait aussi de jkhiig.dll. C'était une alerte en boucle, Avast m'affichait ces messages d'alerte toutes les secondes...
J'ai programmé un scanner antivirus AVAST juste avant le démarrage de windows (celui qui se lance sur écran bleu). Il m'a trouvé les fichiers infectés, mais impossible de les mettre en quarantaine, je ne pouvais que les supprimer. Alors, j'ai supprimé (erreur?).
Puis, au redémarrage, j'ai eu un message d'erreur:
"RUN DLL : erreur de chargement de jkhiig.dll Le module spécifié est introuvable."
Puis quelques jours après, RUN DLL : "erreur de chargement C:\Documents", est arrivé.
C'est là que je me suis rendu compte qu'avast était désactivé! et impossible de le réactiver par quelque moyen que ce soit.
Le temps que j'aille sur internet pour régler le problème....tout s'est enchaîné..... "protection center" de windows s'est activé. Il m'a dit qu'aucun anti virus était actif sur le pc et que c'était dangereux pour résumer. Puis j'ai eu des messages dans la barre des tâches....:
"DANGER! a security threat detected on your computer. trojan ASPX JSWin32. It strongly recommended to remove this threat right now. Click on the message to remove it."
J'ai cliqué, çà m'a lancé "protection center installer", il m'a demandé d'installer le programme pour supprimer des trojans et divers virus listés sur une fenêtre. Impossible d'annuler, je ne pouvais que cliquer sur OK.
Et la manip Ctrl Alt Suppr ne fonctionne plus "le gestionnaire des tâches a été désactivé par l'administrateur".
Ensuite, un autre message est arrivé:
"DANGER! puis unauthorized persons try to steal your passwords and private information. Click on the message to prevent identity theft."
Là, j'ai flippé, et je flippe toujours. J'ai immédiatement débranché internet.
J'ai désinstallé avast qui ne répondait plus. J'ai réinstallé avast 5.0.
Alors que j'étais hors ligne., les 2 messages précédant "DANGER" ont continué de s'afficher toutes les 10 secondes.
Puis des icônes de raccourcis vers des sites porno ont été généré sur mon bureau! avec des fichiers .exe "troj000.exe" "spam003.exe" "spam001.exe".
J'ai beau les supprimer, ils se régénèrent automatiquement...
Donc, suite à cela, je me suis reconnecté à internet. Avast s'est mis à jour.
Je précise que spybot et malwarebytes ne peuvent plus se lancer, windows les bloquent ou les virus les bloquent plutôt, je pense...
Au moment, où je vous écris, avast me fait un scanner minutieux de mon pc, et RAS quant à présent! (3/4 du scan).... et c'est pas normal.
Les messages DANGER! continuent de s'afficher, mais j'ai de la chance, j'ai accès à toutes les fonctions de mon pc... pour l'instant.
Je précise aussi que l'espace libre de mon disque C s'est vidé... Je n'ai quasiment plus de place.
Mais, j'ai récupéré de l'espace libre quand les virus se sont manifestés (création d'icônes, messages DANGER etc)
J'ai tenté d'exécuter les instructions trouvées sur votre site, mais en vain, je n'ai pas trouvé Isass.exe dans la base de registre HKEY LOCAL MACHINE par exemple...
Au moment où j'allais envoyé ce message, un compte à rebours s'est affiché, 30 sec pour enregistrer mes travaux... Au redémarrage de windows, un écran bleu d'une fraction de seconde est apparu, puis redémarrage, puis écran bleu etc etc :(
(j'ai fini mon message sur un autre pc...)
Comment pouvez m'aider SVP?
Merci beaucoup pour votre réponse.
A voir également:
- Isass.exe, jkhiig.dll, trojan ASPX JSWin32
- Isass.exe - Forum Virus
- Fichier aspx - Forum Windows
- Trojan sms-par google ✓ - Forum Virus
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Ouvrir un fichier aspx - Forum Word
4 réponses
Salut,
Si c'est pas la première fois que tu te fais infecter.... vas peut-etre falloir un peu t'informer comment ça vient et surtout suivre les régles élémentaires pour ne plus se faire infecter.
Le truc danger ça va chercher un faux antispyware ? Protection Center ?
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si c'est pas la première fois que tu te fais infecter.... vas peut-etre falloir un peu t'informer comment ça vient et surtout suivre les régles élémentaires pour ne plus se faire infecter.
Le truc danger ça va chercher un faux antispyware ? Protection Center ?
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
bingo Protection Center.....
envoie ces fichiers sur http://upload.malekal.com
c:\documents and settings\tom\Application Data\windrvewls2\windrvewls56.exe
c:\windows\system32\mousenh32.exe
c:\windows\system32\wirepots.exe
fais ça :
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
driver::
winbackupdumper-id19tIF8sKyVMG
acrosysbackup_extIF8sKyVMG
file::
c:\documents and settings\tom\Application Data\windrvewls2\windrvewls56.exe
c:\documents and settings\tom\windrvewls56.exe
c:\windows\system32\wirepots.exe
c:\windows\system32\mousenh32.exe
c:\windows\system32\wirepots.dll
c:\windows\system32\syspol32.dll
c:\windows\system32\pcre3.dll
c:\windows\system32\b_syspol32.dll
folder::
c:\documents and settings\tom\Application Data\windrvewls2
c:\program files\Protection Center
c:\documents and settings\tom\Local Settings\Application Data\Desktop Cleanup Wizard
registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windrvewls2"=-
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
envoie ces fichiers sur http://upload.malekal.com
c:\documents and settings\tom\Application Data\windrvewls2\windrvewls56.exe
c:\windows\system32\mousenh32.exe
c:\windows\system32\wirepots.exe
fais ça :
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
driver::
winbackupdumper-id19tIF8sKyVMG
acrosysbackup_extIF8sKyVMG
file::
c:\documents and settings\tom\Application Data\windrvewls2\windrvewls56.exe
c:\documents and settings\tom\windrvewls56.exe
c:\windows\system32\wirepots.exe
c:\windows\system32\mousenh32.exe
c:\windows\system32\wirepots.dll
c:\windows\system32\syspol32.dll
c:\windows\system32\pcre3.dll
c:\windows\system32\b_syspol32.dll
folder::
c:\documents and settings\tom\Application Data\windrvewls2
c:\program files\Protection Center
c:\documents and settings\tom\Local Settings\Application Data\Desktop Cleanup Wizard
registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windrvewls2"=-
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
J'ai fais une analyse avec malwarebytes: voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
01/06/2010 22:16:59
mbam-log-2010-06-01 (22-16-59).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 118774
Temps écoulé: 5 minute(s), 24 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{d455c695-5809-4da2-97ab-97cdd957c40c} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OneStepSearch (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ocfuncclass (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Fichiers communs\OCFunc\OCFuncClass.dll (Trojan.FakeAlert.H) -> Delete on reboot.
Il m'a supprimé 3 lignes "fakealert"
Je vais quand même faire ta manip.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
01/06/2010 22:16:59
mbam-log-2010-06-01 (22-16-59).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 118774
Temps écoulé: 5 minute(s), 24 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{d455c695-5809-4da2-97ab-97cdd957c40c} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OneStepSearch (Adware.OneStepSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ocfuncclass (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\disableregedit (Hijack.Regedit) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Fichiers communs\OCFunc\OCFuncClass.dll (Trojan.FakeAlert.H) -> Delete on reboot.
Il m'a supprimé 3 lignes "fakealert"
Je vais quand même faire ta manip.
yep c'est good.
Maintiens tes logiciel à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Maintiens tes logiciel à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Dans tous les cas, je n'ai plus aucun problème!
Je te remercie beaucoup!
Je vais conseiller combofix.exe car c'est vraiment puissant! ... c'est même surprenant qu'on puisse désinfecter un pc en pleine agonie avec juste ce petit programme.
Merci encore, bonne continuation à l'équipe!