Sujet Précédent Sujet Suivant

Virus BehavesLike:Win32.ExplorerHijack

Résolu/Fermé
pilotepoisson Messages postés 5 Date d'inscription lundi 5 décembre 2005 Statut Membre Dernière intervention 14 décembre 2005 - 5 déc. 2005 à 12:33
 gui - 19 sept. 2007 à 01:05
Bonjour, j'ai un problème avec ce virus. Bitdefender m'avertit sans cesse que dans:
C:\Documents and Settings\arnoud florian\Local Settings\Temporary Internet Files\Content.IE5\.....des fichiers sont infectés par BehavesLike:Win32.ExplorerHijack.
Il ne peut ni le désinfecter, ni le placer en qurantaine. Il propose l'effacement, mais malgré cela il revient sans cesse.

J'ai essayé de l'effacer en mode sans échec.
J'ai fait plusieurs analyses d'antivirus en ligne, j'ai utilisé cleanup, spybot et ad-aware mais rien ne fonctionne.

Je joins un log hijackthis. Merci d'avance pour votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 12:28:08, on 05/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\RF Wireless Mouse\cm20.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\hijackthis.exe\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NB Probe] C:\Program Files\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent]

6 réponses

Réponse 1 / 6
Utilisateur anonyme
5 déc. 2005 à 12:53
salut
telecharge et execute ceci
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

a+
0
Réponse 2 / 6
pilotepoisson Messages postés 5 Date d'inscription lundi 5 décembre 2005 Statut Membre Dernière intervention 14 décembre 2005
5 déc. 2005 à 13:14
J'ai effectué ce que tu m'as conseillé de faire.
CleanUp40 trouve facilement ces fichiers effectivement mais au même moment Bitdefender m'a ouvert 16 fenêtres me précisant que des fichiers avaient été infectés. J'ai ensuite redémarré Windows comme le demandait CleanUp. Malheuresement au redémarrage une nouvelle fenêtre Bitdefender s'ouvrait avec le même message et le même virus.
Je comprends vraiment pas, il n'y a rien dans ce fichu dossier alors pourquoi j'ai ces messages en permanence?
0
Réponse 3 / 6
biwee Messages postés 381 Date d'inscription vendredi 4 février 2005 Statut Membre Dernière intervention 11 mars 2015 39
5 déc. 2005 à 15:10
je crois qu il faut desactiver le resident de bit avant de nettoyer les caches regarde ceci
http://www.editions-profil.fr/support/Manuel-desinfection.aspx
0
Réponse 4 / 6
pilotepoisson Messages postés 5 Date d'inscription lundi 5 décembre 2005 Statut Membre Dernière intervention 14 décembre 2005
6 déc. 2005 à 17:11
Merci beaucoup biwee, la solution proposée a complétement éradiqué mon problème.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Lise
9 avril 2007 à 23:59
bonjour,

J'utilise aussi bitdefender qui m'a prévu de ce virus mais dans C:\documents and settings\Allusers\documents\setup.exe
Un ami doit me passer demain de la doc sur une procédure de désinfection. Je vais voir si ça marche. Ce qui m'inquiète davantage c'est que suite à cela j'ai un problème de DLL. J'ai ce message qui s'affiche à chaque ouverture de session.

"La DLL syst 32 user.dll a été repositionnée en mémoire; l'application s'exécutera pas correctement. Le repositionnment a été fait car la DLL C:\Windows\syst32\HHCTRL.OCX occupait une zone d'adresse reservée pour les DLL système de windows NT. Le vendeur ayant fourni la la DLL doit être contacté pour en obtenit une nouvelle."

Je ne connais pas du tout la signifacation de ce message ni ses répercutions. D'après une amie, il n'y a pas d'atteinte grave.
0
KH
16 mai 2007 à 18:40
Bonjour Lise,

Pour le probleme avec "C:\Windows\syst32\HHCTRL.OCX", ce n'est pas le fait du virus. Le fautif c'est un hotfix Windows que tu as du installer avec l'Automatic Update. Microsoft a fourni depuis un autre hotfix qui corrige le problem (ca a avoir avec du materiel Realtek dans ton pc).
Le hotfix a telecharger de chez Microsoft est "WindowsXP-KB935448-x86-ENU.exe".
0
Réponse 6 / 6
gui
19 sept. 2007 à 01:05
bonjour,

j'ai reçu via msn un fichier que j ai telechargé puis lancé.........
depuis mon ordinateur est infecté par ce virus: behaveslike:win32.explorerhijack et ce au niveau des fichiers systemes, quand je fais l'analyse antivirus voila ce que j ai:

<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Infecté: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Désinfection impossible
<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Déplacement impossible
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Infecté: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Désinfection impossible
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Déplacement impossible
<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Infecté: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Désinfection impossible
<System>=>C:\WINDOWS\system\explorer.exe (memory dump) Déplacement impossible
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Infecté: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Désinfection impossible
<System>=>C:\WINDOWS\system\explorer.exe (full dump) Déplacement impossible


quelqu un peut il m aider?
j ai deja essayé avec trojanhunter, spyware doctor et cleanUp40 mais rien ne fonctionne.
merci de votre reponse
0