bonjour, Mon pc est infesté par une saleté d'adware indestructible. J'ai suivi les conseils glanés sur d'autres topics, j'ai fait tout mon possible mais impossible de l'éradiquer. J'ai effectué des scans en mod sans échec, en désactivant la restauration du système et en affichant les dossiers cachés et les dossiers système, avec Avast et A² et spybot (j'ai aussi essayé adaware personnel, ewido et antivir). Tous l'ont détecté, je fais supprimer ou mise en quarantaine à chaque fois, mais à chaque nouveau scan, il réapparait. Le scan en ligne ne détecte rien. voici le rapport de a-squared: Version - a-squared Free 2.0 Réglages Scan: Objets: Mémoire, Traces, Cookies Scan archives: Marche Heuristiques: Marche Scan ADS: Marche Début du scan: 03/11/2006 15:28:16 C:\Program Files\mmsassist Détecter: Trace.Directory.MMSAssist C:\Program Files\mmsassist\mms.ini Détecter: Trace.File.MMSAssist C:\Program Files\mmsassist\mmsass~1.dll Détecter: Trace.File.MMSAssist Value: HKEY_CLASSES_ROOT\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MMSAssist Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MMSAssist C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:22 Détecter: Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:23 Détecter: Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:24 Détecter: Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:45 Détecter: Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:46 Détecter: Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:47 Détecter: Trace.TrackingCookie Scanné Fichiers: 1220 Traces: 91541 Cookies: 119 Processus: 30 Trouver Fichiers: 0 Traces: 5 Cookies: 6 Processus: 0 Clés de Registre: 0 Fin du Scan: 03/11/2006 15:28:52 Temps du Scan: 00:00:36 C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:22 Supprimé Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:23 Supprimé Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:24 Supprimé Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:45 Supprimé Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:46 Supprimé Trace.TrackingCookie C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:47 Supprimé Trace.TrackingCookie Value: HKEY_CLASSES_ROOT\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MMSAssist Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MMSAssist C:\Program Files\mmsassist\mms.ini Supprimé Trace.File.MMSAssist C:\Program Files\mmsassist\mmsass~1.dll Supprimé Trace.File.MMSAssist C:\Program Files\mmsassist Supprimé Trace.Directory.MMSAssist Supprimé Fichiers: 0 Traces: 5 Cookies: 6 Comme on peut le voir, le problème vient du dossier MMSAssist qui se trouve dans Program files. Bien sûr, impossible d'effacer, de renommer ou de déplacer ce dossier et les fichiers qu'il contient. Impossible d'effacer les clés registre qui lui sont affiliées (même avec regcleaner en mode sans échec). Quoique je fasse, il revient toujours ^^ voici le log Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 16:38:02, on 03/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\HPZipm12.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\perso\Bureau\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: System Helper - {B88DBC3F-41FB-40AE-AFB0-4220E842B710} - (no file) O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Hier à chaque démarrage d'avast, ce dernier m'indiquait que ma mémoire était infectée, et il m'ouvrait un message d'alerte à chaque fois que j'essayais d'accéder à poste de travail, panneau de configuration ou mes documents. Aujourd'hui plus rien de ce côté là heureusement, mais le virus est toujours détecté à chaque scan. Merci à ceux qui voudront m'aider, je suis à bout ...

MMSAssist - virus indestructible!! - Page 2

Réponse 21 / 23

stebbins Messages postés 19 Statut Membre

Un petit up.

En fait un nouveau probleme survient sur un autre P.C qui ressemble fortement au précédent: deux fichiers indestructibles se logent dans le dossier e:\windows\system32\drivers

Ils se nomment fsprot.sys et moprot.sys

Comme pour le virus précédent sur l'autre pc, l'effacement manuel est impossible, il est repéré par tous les antivirus (avast, a², ad-aware) mais tous me disent qu'ils ne peuvent pas les supprimer.
Depuis que cette saleté s'est installé, je constate régulièrement des problemes avec ma connexion internet (ça rame, ou alors la connexion est impossible).
J'ai testé toutes les méthodes préconisées plus haut, qui ont été efficaces avec l'ancien problème, mais rien n'y a fait ici.

voila déjà le log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 03:03:16, on 01/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Windows Defender\MsMpEng.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
c:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\system32\notepad.exe
E:\Documents and Settings\souladié\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe

O4 - HKLM\..\Run: [avast!] c:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - c:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

merci d'avance

Réponse 22 / 23

DrUp

Salut,

Des soucis avec IE-Bar ?...
En attendant Qc001 et si ça peut t'aider, essayes cette manip :

Démarrer --> Exécuter et tapes: devmgmt.msc
Ce qui va ouvrir le Gestionnaire des périphériques.
Dans le menu, clic sur Affichage, puis selectionnes "Afficher les périphériques cachés"
Et déploies la rubrique "Pilotes non Plug-and-Play".
Si fsprot et moprot ne sont pas hookés (masqués) par un autre processus ou n'ont pas muté entre temps, tu devrais les voir dans la liste.
Si ce n'est pas le cas, il te faudra surement procéder à une désinfection plus approfondie avant de t'attaquer à la suppression de ces deux drivers.
Donc, s'ils sont bien là, fais un clic droit sur fsprot et clic sur propriétés.
Sous "Utilisation du périphérique", déploies le menu déroulant et choisis "Ne pas utiliser ce périphérique (désactiver)"
Puis valide.
Au message qui te demanderas si tu acceptes le redemarrage du pc pour que les modifs soient prises en comptes, répond NON.
Ensuite, reprend la même procédure pour moprot et cette fois, acceptes le redemarrage du pc.
Après le reboot, normalement tu pourras supprimer fsprot.sys et moprot.sys et les clés de registre associées à ces deux services.

a+

PS:
Est-ce que tu te souviens comment et ou tu as choppé cette m.... ?

Réponse 23 / 23

stebbins Messages postés 19 Statut Membre

Merci pour l'astuce, ça a marché! :) J'ai pu virer fsprot. sys et moprot.sys

Mais j'ai aussitot refait un scan antivirus avec avast et il a trouvé et effacé ça:

Information\_restore{FEBAB78E-28BC-46CC-9E0B-3474480DB0D8}\RP410\A0138019.dll

voici un nouveau rapport Hijackthis, pour vérification:

Logfile of HijackThis v1.99.1
Scan saved at 21:17:01, on 01/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Windows Defender\MsMpEng.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
c:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\notepad.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Documents and Settings\souladié\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe

O4 - HKLM\..\Run: [avast!] c:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - c:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - c:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Discussions similaires

Chrome://newtab

Softonic,est-ce un virus ?

Désinstaller Softonic

Erreur 0x800700E1

Virus dans filezilla

Discussions similaires

Newsletters