Infecte par ' look2me'
jean-pierre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour, je suis infecte par 'look2me' et ad-aware et spybot ne le virent pas. Comment proceder avec le log de Hijackthis que voici:
(ad-aware me trouve le fichier '' windows systeme32 hrrq0595e.dll''
dans systeme 'C' mais je n'ose pas le virer)
Logfile of HijackThis v1.99.1
Scan saved at 22:16:09, on 15/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sophie.COMPUTER\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecu.edu.au/
R3 - URLSearchHook: (no name) - {39D0FE69-63A8-6478-D8DF-6263031DDABE} - C:\WINDOWS\System32\ztu.dll (file missing)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
Merci pour vos precieux conseils
JP
(ad-aware me trouve le fichier '' windows systeme32 hrrq0595e.dll''
dans systeme 'C' mais je n'ose pas le virer)
Logfile of HijackThis v1.99.1
Scan saved at 22:16:09, on 15/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sophie.COMPUTER\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecu.edu.au/
R3 - URLSearchHook: (no name) - {39D0FE69-63A8-6478-D8DF-6263031DDABE} - C:\WINDOWS\System32\ztu.dll (file missing)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
Merci pour vos precieux conseils
JP
A voir également:
- Look2me virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
2 réponses
Bonsoir
HJT incomplet
Je souhaiterais que tu fasses également ceci :
Télécharge LopxpMH sur ton Bureau.
< http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip >
Dézippe-le (clic droit >> Extraire ici) et double-clique sur le fichier « lopxpMH.bat ».
Poste le contenu du rapport qui va s'ouvrir.
Merci
Al.
HJT incomplet
Je souhaiterais que tu fasses également ceci :
Télécharge LopxpMH sur ton Bureau.
< http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip >
Dézippe-le (clic droit >> Extraire ici) et double-clique sur le fichier « lopxpMH.bat ».
Poste le contenu du rapport qui va s'ouvrir.
Merci
Al.
Jean-Pierre,
1)- Après LopXP-MH, et m'avoir posté son rapport, accepte de faire ceci:
2)- Télécharge Look2Me-Destroyer.exe sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=7 >
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds".
> Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; ( les icônes de ton Bureau vont disparaître : c'est normal ).
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message "Done Scanning" apparaîtra, clique [OK].
* Un nouveau message s'affichera : "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" ; clique [OK].
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.
##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.
###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
3)- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
< http://img366.imageshack.us/img366/4891/screenshot132nd7.gif >
Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
ou < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
Tu enregistres le fichier dans un dossier.
A la fin du téléchargement.
Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.
Tu ouvres le dossier et tu doubles clic sur "avgas-setup-7.5.0.47.exe".
Tu suis les instructions.
Si on te demande de redémarrer ton ordinateur, tu le fais.
Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.
Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour).
Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer »
- tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
•- tu choisis l'onglet "analyser", "nouvelle analyse", "analyse complète du système".
A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions"
puis "enregistrer le rapport" puis "enregistrer le rapport sous...".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.
4)- Fais ensuite un ScanOnline chez Bitdefender et poste le rapport final complet :
http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Merci
Al.
1)- Après LopXP-MH, et m'avoir posté son rapport, accepte de faire ceci:
2)- Télécharge Look2Me-Destroyer.exe sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=7 >
* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds".
> Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; ( les icônes de ton Bureau vont disparaître : c'est normal ).
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message "Done Scanning" apparaîtra, clique [OK].
* Un nouveau message s'affichera : "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" ; clique [OK].
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.
##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.
###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
3)- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
< http://img366.imageshack.us/img366/4891/screenshot132nd7.gif >
Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
ou < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
Tu enregistres le fichier dans un dossier.
A la fin du téléchargement.
Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.
Tu ouvres le dossier et tu doubles clic sur "avgas-setup-7.5.0.47.exe".
Tu suis les instructions.
Si on te demande de redémarrer ton ordinateur, tu le fais.
Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.
Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour).
Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer »
- tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
•- tu choisis l'onglet "analyser", "nouvelle analyse", "analyse complète du système".
A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions"
puis "enregistrer le rapport" puis "enregistrer le rapport sous...".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.
4)- Fais ensuite un ScanOnline chez Bitdefender et poste le rapport final complet :
http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Merci
Al.
