[XP] fichiers bizarres...

txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   -  
 boulepate -
Salut a tous,
J'ai une inquiétude (je viens de reconstruire XP car l'autorun ne fonctionnait plus malgré les modifs sur le registre et le disque qui tourne à fond en permanence).
En regardant dans C: je me trouve 3 fichiers "bizarres":
alc.exe
stub_113-4-0-4-0.exe
ucmoreiex.exe (avec une icone jaune rouge bleu et vert) (???)

Dois-je les supprimer où non ?

Que font-ils ?
NOTE: mon HDD tourne toujours aussi vite et à fond (activité intense donc). D'autre part, je ne peux plus faire de MàJ de l'antivirus.
ça pue ça non ? ça sent le virus (malgré la réinstall et donc formatage...
Je ne sais pas quoi penser.
Merci de votre aide.

--

Le bonheur est la seule chose que l'on peut donner sans l'avoir.

10 réponses

  1. Gouril Messages postés 3765 Statut Contributeur 580
     
    Hello,

    Je pense un set de décontamination serait le bienvenu.

    Pour ça, il faudrait que tu déplace ton post dans virus et sécurité.

    Demande au modérateur de le faire.

    salutations
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Gouril,,,,,,,,,,,,,,

      Le vin Suisse te monte à la tête !!!!!!!!!!!!! MOUARFFF

      il faudrait que tu déplace ton post dans virus et sécurité

      et ppppsssstttttt ::: il est où là ????
      0
  2. txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   610
     
    Bon, j'ai téléchargé l'antivurs en ligne (secuser.com) et il m'a trouvé 9 trucs dont un BKDR (backdor) BKDR heplane.c
    Il se trouve dans un répertoire: C/alc.exe. J'ai pu le supprimer en démarrant en mode sans échec mais il revient au reboot...
    Ensuite: j'ai aussi worm sdbot.bxk. Lui se trouve dans System32/winPE.exe qui est invisible quand j'y vais voir (caché ???). Impossible à supprimer donc.

    Je commence à paniquer là ! ! !
    D'autant plus que secuser me dit "can not access"

    Quelqu'un pourrait-il me filer un coup de main s'il vous plait ?
    Merci d'avance.
    0
    1. boulepate
       
      Salut,

      télécharge hijackthis:
      http://www.hijackthis.de/downloads/hijackthis_199.zip

      Installe le dans son propre dossier:
      Par exemple C:\hijackthis
      Lance le, clique sur "do a system scan and save logfile"
      Puis copie et colle le rapport ici.

      A++
      0
  3. Gouril Messages postés 3765 Statut Contributeur 580
     
    Petit programme pour supprimer l'insupprimable,

    Unlocker disponible sur www.01net.com
    0
  4. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    salut TOA !!!
    0
    1. Gouril Messages postés 3765 Statut Contributeur 580
       
      Salut, comment va ?

      Bien fêté ?

      T'es resté sage ?

      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Très sympa,
    Mais j'ai bien ri là :http://www.commentcamarche.net/forum/affich-2076869

    viii très sage, un peu mal aux cheveux le lendemain !!!
    0
    1. Gouril Messages postés 3765 Statut Contributeur 580
       
      ça arrive a tout le monde........................... !

      ;-P
      0
  7. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    LOLHEU!!!!!!!!!!;-))
    0
  8. txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   610
     
    Merci pour vos réponses rapides.
    Voici le log:
    Logfile of HijackThis v1.99.1
    Scan saved at 21:23:19, on 04/02/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\winPE.exe
    C:\alc.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\system32\wincon.exe
    C:\Program Files\Network Associates\VirusScan\VsStat.exe
    C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\Avconsol.exe
    C:\Documents and Settings\abarkak\Bureau\hijackthis_199\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: 213.21.215.158 www.halifax-online.co.uk
    O1 - Hosts: 213.21.215.158 ibank.barclays.co.uk
    O1 - Hosts: 213.21.215.158 online.lloydstsb.co.uk
    O1 - Hosts: 213.21.215.158 online-business.lloydstsb.co.uk
    O1 - Hosts: 213.21.215.158 www.ukpersonal.hsbc.co.uk
    O1 - Hosts: 213.21.215.158 banesnet.banesto.es
    O1 - Hosts: 213.21.215.158 extranet.banesto.es
    O1 - Hosts: 213.21.215.158 ebanking.bccbrescia.it
    O1 - Hosts: 213.21.215.158 www.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 213.21.215.158 oi.cajamadrid.es
    O1 - Hosts: 213.21.215.158 bancae.caixapenedes.com
    O1 - Hosts: 213.21.215.158 banking.postbank.de
    O1 - Hosts: 213.21.215.158 meine.deutsche-bank.de
    O1 - Hosts: 213.21.215.158 myonlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 213.21.215.158 ibank.cahoot.com
    O1 - Hosts: 213.21.215.158 webbank.openplan.co.uk
    O1 - Hosts: 213.21.215.158 bancopostaonline.poste.it
    O1 - Hosts: 213.21.215.158 mybank.bybank.it
    O1 - Hosts: 213.21.215.158 ibank.internationalbanking.barclays.com
    O1 - Hosts: 213.21.215.158 welcome7.co-operativebank.co.uk
    O1 - Hosts: 213.21.215.158 welcome11.co-operativebankonline.co.uk
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmes\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ms ownage] winPE.exe
    O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] E:\Programmes\Fine Reader7\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\RunServices: [ms ownage] winPE.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Programmes\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Programmes\Office\OSA9.EXE
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe

    (je pige rien, pin nuts....)
    Merci encore les gars.
    0
    1. boulepate
       
      Salut,
      Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

      1 - Hosts: 213.21.215.158 www.halifax-online.co.uk
      O1 - Hosts: 213.21.215.158 ibank.barclays.co.uk
      O1 - Hosts: 213.21.215.158 online.lloydstsb.co.uk
      O1 - Hosts: 213.21.215.158 online-business.lloydstsb.co.uk
      O1 - Hosts: 213.21.215.158 www.ukpersonal.hsbc.co.uk
      O1 - Hosts: 213.21.215.158 banesnet.banesto.es
      O1 - Hosts: 213.21.215.158 extranet.banesto.es
      O1 - Hosts: 213.21.215.158 ebanking.bccbrescia.it
      O1 - Hosts: 213.21.215.158 www.bankofscotlandhalifax-online.co.uk
      O1 - Hosts: 213.21.215.158 oi.cajamadrid.es
      O1 - Hosts: 213.21.215.158 bancae.caixapenedes.com
      O1 - Hosts: 213.21.215.158 banking.postbank.de
      O1 - Hosts: 213.21.215.158 meine.deutsche-bank.de
      O1 - Hosts: 213.21.215.158 myonlineaccounts2.abbeynational.co.uk
      O1 - Hosts: 213.21.215.158 ibank.cahoot.com
      O1 - Hosts: 213.21.215.158 webbank.openplan.co.uk
      O1 - Hosts: 213.21.215.158 bancopostaonline.poste.it
      O1 - Hosts: 213.21.215.158 mybank.bybank.it
      O1 - Hosts: 213.21.215.158 ibank.internationalbanking.barclays.com
      O1 - Hosts: 213.21.215.158 welcome7.co-operativebank.co.uk
      O1 - Hosts: 213.21.215.158 welcome11.co-operativebankonline.co.uk
      O4 - HKLM\..\Run: [ms ownage] winPE.exe
      O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\RunServices: [ms ownage] winPE.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Programmes\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = E:\Programmes\Office\OSA9.EXE
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html

      Clique sur demarrer, executer, tape: services.msc ,cherche et decoche la case devant cette ligne:

      [ms ownage] winPE.exe

      Clique sur demarrer, rechercher, cherche et supprime ces fichiers:

      winPE.exe
      alc.exe

      telecharge, mets a jour ce logiciel anti-spyware, puis scan complet ton pc et colle le rapport ici une fois fini

      Ewido:
      https://www.01net.com/telecharger/

      ton anti-virus, tu l'as viré?! ou il est mal installé :-/
      Si c'est le cas installe celui ci

      Avast:
      Avast Edition Familiale

      une fois tous ça terminé, colle le rapport Ewido plus un nouveau rapport HijackThis
      0
  9. txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   610
     
    Merci beaucoup boulepate,
    J'avais déjà fait des trucs avant de recevoir ta réponse, en loccurence, supprimé (fixé) toutes les url et en particulier des sites espagnols (???)

    L'anti virus est installé mais il m'est impossible depuis quelque jours de faire les mises à jour.

    J'ai réinstallé Zone alarm.
    Voici lea log:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:05:04, on 05/02/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Network Associates\VirusScan\VsStat.exe
    C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
    C:\WINDOWS\system32\wincon.exe
    C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\Avconsol.exe
    C:\hijackthis_199\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmes\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] E:\Programmes\Fine Reader7\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    NOTE: mon HDD tourne toujours aussi vite et en permanance.
    0
  10. boulepate
     
    Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] E:\Programmes\Fine Reader7\AbbyyNewsReader.exe

    telecharge, mets a jour ce logiciel anti-spyware, puis scan complet ton pc et colle le rapport ici une fois fini

    Ewido:
    http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html

    clique sur ctrl+alt+suppr(en meme temps) et regarde quel processus de bouffe le plus.
    0
  11. txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   610
     
    Bon, j'ai téléchargé ewido puis scanné le système. Il m'a trouvé 27 fichiers mais ne me dit pas lesquels sauf un truc sur Firefox (que j'ai supprimé).
    Comment je fais maintenant?
    PS: Il est génial ce truc mais payant.... (14 jours à l'essai) dommage.
    Merci encore pour ta participation.
    0
    1. txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention   610
       
      Mon antivirus, McAfee, je l'ai toujours mais il m'est impossible de faire les maj.... je viens d'essayer encore à l'instant.

      Pour tu me propose ces 2 anti virus supplémentaires ?
      0
      1. boulepate > txiki Messages postés 6514 Date d'inscription   Statut Contributeur Dernière intervention  
         
        Pour scanner ton pc!

        si tu n'arrives toujours pas à faire la mise à jour de ton programme, réinstalle le ;-)
        0