Sujet Précédent Sujet Suivant

Help Virus HacktoolRootkit sur iexplore32.dll

Résolu/Fermé
BAUDUIN Messages postés 10 Date d'inscription mercredi 4 octobre 2006 Statut Membre Dernière intervention 31 octobre 2006 - 4 oct. 2006 à 22:29
 Utilisateur anonyme - 10 oct. 2006 à 08:26
Bonjour,
Je suis très content de constater que des sites comme CCM existe
Une telle solidarité vis à vis des gens qui essaient d'utiliser l'informatique sans le maitriser est une cause remarquable!!
Même si on ne résoud pas mon problème, félicitations à tous ceux qui aident les gens comme moi!

Alors mon probleme est le suivant:
En naviguant sur le net j'ai eu une détection de virus par Norton:
Hacktool.Rootkit sur le fichier F:\winnt\iexplore32.dll
F est mon DiscDur Sytème et je suis sous W2kPro
Norton m'indique qu'il n'a pas réussi à le nettoyer et l'a mis en quarantaine (avec accès refusé)

Le lendemain, au redémarrage Norton détecte de nouveau et me notifie cette fois qu'il n'a pas réussi à le mettre en quarantaine; d'ailleurs le compteur de nombre de fois de notifications défilait comme des secondes!
Impossible de supprimer le fichier, j'ai donc redémarré en mode sans échec pour tenter de le supprimer mais sans succès car je ne comprends pas, mais il n'était pas là! .
Une fois redémarré Norton l'a remis en quarantaine.
Vu le nom du fichier, j'ai tenté la suppression de Internet explorer 6, sans succès
J'ai découvert votre site et je présume après lecture de certains cas similaires que quelqu'un pourra déchiffré le fichier d'analyse généré par Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:34:29, on 04/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\WINNT\System32\CTSvcCDA.exe
F:\Program Files\NavNT\defwatch.exe
F:\WINNT\System32\svchost.exe
F:\Program Files\NavNT\rtvscan.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\MsgSys.EXE
F:\WINNT\System32\devldr32.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
F:\WINNT\service32.exe
F:\WINNT\SOUNDMAN.EXE
F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
F:\Program Files\NavNT\vptray.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\program files\divx\divx pro codec\gain_trickler_3102.exe
F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
F:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] F:\Program Files\Creative\SBLive2k\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [Creative Launcher] F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HP Lamp] "F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [vptray] F:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WpsRePsw] F:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Trickler] "f:\program files\divx\divx pro codec\gain_trickler_3102.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Registration-Studio 8 LE.lnk = F:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D86962-C6F7-4075-ADF9-DC740FFDFBDA}: NameServer = 212.151.137.170 212.151.136.246
O20 - Winlogon Notify: NavLogon - F:\WINNT\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINNT\System32\CTSvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - F:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - F:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINNT\system32\ZoneLabs\vsmon.exe

Merci d'avance
A voir également:

3 réponses

Réponse 1 / 3
Utilisateur anonyme
5 oct. 2006 à 01:16
Salut Bauduin,

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm


CLic sur F:, WINNT, system32 et supprime ce fichier:

service32.exe

Si il resiste supprime le en mode sans echec.


Scannes ton Pc avec ces logiciels anti-spywares et supprime ce qu'ils pourraient te trouver


SpyBot-Search & Destroy: (gratuit)
Spybot

A² squared: (gratuit)
A-squared

Ad-Aware SE Personal: (en Anglais, gratuit)
Ad-aware

Ewido: (reste gratuit après la période d'essai)
Ewido


A++

0
BAUDUIN Messages postés 10 Date d'inscription mercredi 4 octobre 2006 Statut Membre Dernière intervention 31 octobre 2006
5 oct. 2006 à 21:08
Nickel !
En tout cas Norton ne détecte plus rien.
Il a fallu redémarrer en mode sans échec
Par contre le fichier service32.exe était directemet à la racine f:\winnt\

Merci beaucoup boulepate 62!!!!!

Pour l'anti-spywares lequel me conseilles tu ?

Encore Merci!
0
Réponse 2 / 3
Utilisateur anonyme
6 oct. 2006 à 01:16
Pour l'anti-spywares, prend en au mois deux car un ne suffit pas, prends Ewido et Spybot :-)


n'hésite pas à faire un scan anti-virus en ligne

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

https://www.bitdefender.com/toolbox/


Bon surf!

A++
0
BAUDUIN Messages postés 10 Date d'inscription mercredi 4 octobre 2006 Statut Membre Dernière intervention 31 octobre 2006
9 oct. 2006 à 22:42
J'ai installé spyboot ouis résolu9 problèmes (cookies)
Puis Ewido encore quelques autres..
Mais les cookies ne sont pas des virus??

Voici le rapport de l'nankyse en ligne,
principalement des fichiers temporaires:

BitDefender Online Scanner - Real Time Virus Report
Generated at: Mon, Oct 09, 2006 - 22:31:39

Scanned Files
211794
Infected Files
4

Virus Detected

GenPack:Generic.Malware.Ykdg.567E5CD6 1
Trojan.Poebot.AR 1
MemScan:Trojan.Clicker.Agent.HZ 1
Trojan.Downloader.Tukpat.A 1

Tous les fichiers ont été supprimés
0
Réponse 3 / 3
Utilisateur anonyme
10 oct. 2006 à 08:26
Salut,

des cookies tu en as à chaques sites que tu visistes, donc pas de soucis, pense juste à nettoyer réguliérement tes dossiers temporaires ;-)


Fait ce nettoyage: (à faire réguliérement)

¤Telecharges et installes ceci:
CCleaner:
Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
0

Discussions similaires

XINPUT1_3.dll manquant (missing)
Maxirugue -
dan -

39 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Probleme d'installation jeu pc (il manquerait " XINPUT1_3.dll)
Rogerleraton -
Rogerleraton -

6 réponses