Help Virus HacktoolRootkit sur iexplore32.dll
Résolu
BAUDUIN
Messages postés
10
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je suis très content de constater que des sites comme CCM existe
Une telle solidarité vis à vis des gens qui essaient d'utiliser l'informatique sans le maitriser est une cause remarquable!!
Même si on ne résoud pas mon problème, félicitations à tous ceux qui aident les gens comme moi!
Alors mon probleme est le suivant:
En naviguant sur le net j'ai eu une détection de virus par Norton:
Hacktool.Rootkit sur le fichier F:\winnt\iexplore32.dll
F est mon DiscDur Sytème et je suis sous W2kPro
Norton m'indique qu'il n'a pas réussi à le nettoyer et l'a mis en quarantaine (avec accès refusé)
Le lendemain, au redémarrage Norton détecte de nouveau et me notifie cette fois qu'il n'a pas réussi à le mettre en quarantaine; d'ailleurs le compteur de nombre de fois de notifications défilait comme des secondes!
Impossible de supprimer le fichier, j'ai donc redémarré en mode sans échec pour tenter de le supprimer mais sans succès car je ne comprends pas, mais il n'était pas là! .
Une fois redémarré Norton l'a remis en quarantaine.
Vu le nom du fichier, j'ai tenté la suppression de Internet explorer 6, sans succès
J'ai découvert votre site et je présume après lecture de certains cas similaires que quelqu'un pourra déchiffré le fichier d'analyse généré par Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:34:29, on 04/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\WINNT\System32\CTSvcCDA.exe
F:\Program Files\NavNT\defwatch.exe
F:\WINNT\System32\svchost.exe
F:\Program Files\NavNT\rtvscan.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\MsgSys.EXE
F:\WINNT\System32\devldr32.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
F:\WINNT\service32.exe
F:\WINNT\SOUNDMAN.EXE
F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
F:\Program Files\NavNT\vptray.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\program files\divx\divx pro codec\gain_trickler_3102.exe
F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
F:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] F:\Program Files\Creative\SBLive2k\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [Creative Launcher] F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HP Lamp] "F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [vptray] F:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WpsRePsw] F:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Trickler] "f:\program files\divx\divx pro codec\gain_trickler_3102.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Registration-Studio 8 LE.lnk = F:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D86962-C6F7-4075-ADF9-DC740FFDFBDA}: NameServer = 212.151.137.170 212.151.136.246
O20 - Winlogon Notify: NavLogon - F:\WINNT\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINNT\System32\CTSvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - F:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - F:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINNT\system32\ZoneLabs\vsmon.exe
Merci d'avance
Je suis très content de constater que des sites comme CCM existe
Une telle solidarité vis à vis des gens qui essaient d'utiliser l'informatique sans le maitriser est une cause remarquable!!
Même si on ne résoud pas mon problème, félicitations à tous ceux qui aident les gens comme moi!
Alors mon probleme est le suivant:
En naviguant sur le net j'ai eu une détection de virus par Norton:
Hacktool.Rootkit sur le fichier F:\winnt\iexplore32.dll
F est mon DiscDur Sytème et je suis sous W2kPro
Norton m'indique qu'il n'a pas réussi à le nettoyer et l'a mis en quarantaine (avec accès refusé)
Le lendemain, au redémarrage Norton détecte de nouveau et me notifie cette fois qu'il n'a pas réussi à le mettre en quarantaine; d'ailleurs le compteur de nombre de fois de notifications défilait comme des secondes!
Impossible de supprimer le fichier, j'ai donc redémarré en mode sans échec pour tenter de le supprimer mais sans succès car je ne comprends pas, mais il n'était pas là! .
Une fois redémarré Norton l'a remis en quarantaine.
Vu le nom du fichier, j'ai tenté la suppression de Internet explorer 6, sans succès
J'ai découvert votre site et je présume après lecture de certains cas similaires que quelqu'un pourra déchiffré le fichier d'analyse généré par Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:34:29, on 04/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\WINNT\System32\CTSvcCDA.exe
F:\Program Files\NavNT\defwatch.exe
F:\WINNT\System32\svchost.exe
F:\Program Files\NavNT\rtvscan.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\MsgSys.EXE
F:\WINNT\System32\devldr32.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
F:\WINNT\service32.exe
F:\WINNT\SOUNDMAN.EXE
F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
F:\Program Files\NavNT\vptray.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\program files\divx\divx pro codec\gain_trickler_3102.exe
F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
F:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] F:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] F:\Program Files\Creative\SBLive2k\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [Creative Launcher] F:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HP Lamp] "F:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [vptray] F:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WpsRePsw] F:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Trickler] "f:\program files\divx\divx pro codec\gain_trickler_3102.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Registration-Studio 8 LE.lnk = F:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr/
O14 - IERESET.INF: MS_START_PAGE_URL=https://www.msn.com/fr-fr/
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D86962-C6F7-4075-ADF9-DC740FFDFBDA}: NameServer = 212.151.137.170 212.151.136.246
O20 - Winlogon Notify: NavLogon - F:\WINNT\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINNT\System32\CTSvcCDA.exe
O23 - Service: DefWatch - Symantec Corporation - F:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - F:\Program Files\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINNT\system32\ZoneLabs\vsmon.exe
Merci d'avance
A voir également:
- Help Virus HacktoolRootkit sur iexplore32.dll
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Xinput1_3.dll - Forum Jeux PC
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
3 réponses
Salut Bauduin,
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
CLic sur F:, WINNT, system32 et supprime ce fichier:
service32.exe
Si il resiste supprime le en mode sans echec.
Scannes ton Pc avec ces logiciels anti-spywares et supprime ce qu'ils pourraient te trouver
SpyBot-Search & Destroy: (gratuit)
Spybot
A² squared: (gratuit)
A-squared
Ad-Aware SE Personal: (en Anglais, gratuit)
Ad-aware
Ewido: (reste gratuit après la période d'essai)
Ewido
A++
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
CLic sur F:, WINNT, system32 et supprime ce fichier:
service32.exe
Si il resiste supprime le en mode sans echec.
Scannes ton Pc avec ces logiciels anti-spywares et supprime ce qu'ils pourraient te trouver
SpyBot-Search & Destroy: (gratuit)
Spybot
A² squared: (gratuit)
A-squared
Ad-Aware SE Personal: (en Anglais, gratuit)
Ad-aware
Ewido: (reste gratuit après la période d'essai)
Ewido
A++
Pour l'anti-spywares, prend en au mois deux car un ne suffit pas, prends Ewido et Spybot :-)
n'hésite pas à faire un scan anti-virus en ligne
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
Bon surf!
A++
n'hésite pas à faire un scan anti-virus en ligne
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
Bon surf!
A++
J'ai installé spyboot ouis résolu9 problèmes (cookies)
Puis Ewido encore quelques autres..
Mais les cookies ne sont pas des virus??
Voici le rapport de l'nankyse en ligne,
principalement des fichiers temporaires:
BitDefender Online Scanner - Real Time Virus Report
Generated at: Mon, Oct 09, 2006 - 22:31:39
Scanned Files
211794
Infected Files
4
Virus Detected
GenPack:Generic.Malware.Ykdg.567E5CD6 1
Trojan.Poebot.AR 1
MemScan:Trojan.Clicker.Agent.HZ 1
Trojan.Downloader.Tukpat.A 1
Tous les fichiers ont été supprimés
Puis Ewido encore quelques autres..
Mais les cookies ne sont pas des virus??
Voici le rapport de l'nankyse en ligne,
principalement des fichiers temporaires:
BitDefender Online Scanner - Real Time Virus Report
Generated at: Mon, Oct 09, 2006 - 22:31:39
Scanned Files
211794
Infected Files
4
Virus Detected
GenPack:Generic.Malware.Ykdg.567E5CD6 1
Trojan.Poebot.AR 1
MemScan:Trojan.Clicker.Agent.HZ 1
Trojan.Downloader.Tukpat.A 1
Tous les fichiers ont été supprimés
Salut,
des cookies tu en as à chaques sites que tu visistes, donc pas de soucis, pense juste à nettoyer réguliérement tes dossiers temporaires ;-)
Fait ce nettoyage: (à faire réguliérement)
¤Telecharges et installes ceci:
CCleaner:
Ccleaner
dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes
¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
des cookies tu en as à chaques sites que tu visistes, donc pas de soucis, pense juste à nettoyer réguliérement tes dossiers temporaires ;-)
Fait ce nettoyage: (à faire réguliérement)
¤Telecharges et installes ceci:
CCleaner:
Ccleaner
dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes
¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
En tout cas Norton ne détecte plus rien.
Il a fallu redémarrer en mode sans échec
Par contre le fichier service32.exe était directemet à la racine f:\winnt\
Merci beaucoup boulepate 62!!!!!
Pour l'anti-spywares lequel me conseilles tu ?
Encore Merci!