Virus win32.small-JMH
davcha
Messages postés
3
Statut
Membre
-
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonsoir,
je suis infecté par small-JMH et mon PC tourne au ralenti.
En plus il me ferme d'office tous les exécutable.
En utilisant AVAST, j'ai les fichiers suivant de signalé :
win32.small-JMH
win32.eggdrop-AE
win32.trojan-gen
Apres avoir lu quelques forum j'ai commencé par télécharger hijackthis.
j'ai été obligé de l'exécuter en mode sans echec.
Mais ensuite je ne sais pas trop quoi faire.
Si quelqu'un pouvait m'aider... merci
Voici le rapport hijackthi :
Logfile of HijackThis v1.99.1
Scan saved at 21:16:11, on 05/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\plms.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\schedhlp.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Sab & Dav\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\schedhlp.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\citzwsw.exe
O4 - HKLM\..\Run: [9c270b4c] rundll32.exe "C:\WINDOWS\System32\gkecpaxw.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: Acronis Scheduler_Helper - Unknown owner - C:\WINDOWS\schedhlp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft PowerPoint Application - Unknown owner - C:\WINDOWS\System32\dllcache\winppa.exe
O23 - Service: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt
je suis infecté par small-JMH et mon PC tourne au ralenti.
En plus il me ferme d'office tous les exécutable.
En utilisant AVAST, j'ai les fichiers suivant de signalé :
win32.small-JMH
win32.eggdrop-AE
win32.trojan-gen
Apres avoir lu quelques forum j'ai commencé par télécharger hijackthis.
j'ai été obligé de l'exécuter en mode sans echec.
Mais ensuite je ne sais pas trop quoi faire.
Si quelqu'un pouvait m'aider... merci
Voici le rapport hijackthi :
Logfile of HijackThis v1.99.1
Scan saved at 21:16:11, on 05/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\plms.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\schedhlp.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Sab & Dav\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\schedhlp.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\citzwsw.exe
O4 - HKLM\..\Run: [9c270b4c] rundll32.exe "C:\WINDOWS\System32\gkecpaxw.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: Acronis Scheduler_Helper - Unknown owner - C:\WINDOWS\schedhlp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft PowerPoint Application - Unknown owner - C:\WINDOWS\System32\dllcache\winppa.exe
O23 - Service: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt
A voir également:
- Virus win32.small-JMH
- Damn small linux - Télécharger - Systèmes d'exploitation
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
3 réponses
bonsoir
avant tout désinstalle hijack et réinstalle le de façon qu'il soit sur C: directement mais pas en répertoire temps , c'est important au niveau backups ! aussi renomme le par abcde par exemple, ca piege 1 peu les trojans
1 fois fait reposte 1 rapport stp
bises
avant tout désinstalle hijack et réinstalle le de façon qu'il soit sur C: directement mais pas en répertoire temps , c'est important au niveau backups ! aussi renomme le par abcde par exemple, ca piege 1 peu les trojans
1 fois fait reposte 1 rapport stp
bises
bonjour, utilise Ccleaner dans ses deux modes https://www.malekal.com/tutoriel-ccleaner/ et puis passe Malwarebytes https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ fais une analyse en ligne avec un autre antivirus http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender et tiens nous au courrant, sinon se qui serais pas mal serais que dés que ton pc sera bien serais de passer au SP2 et de prendre un autre anti-virus gratuit comme antivir ansi que pare-feu plus pissant que celui d'XP type zonne alarme @+
à heure actuel c'est le plus performant lis ceci https://forum.malekal.com/viewtopic.php?f=45&t=8765
relance hijackthis et fixe c'est ligne as tu passé malwarebytes en modes sans échec comme dit dans le tutoriel, en plus moi je désactiverais la restauration système le temps du nettoyage
C:\WINDOWS\System32\plms.exe
C:\histoire.exe
O2 - BHO: {76abe2a1-3e92-6cea-e3c4-2f2e18c6ddd1} - {1ddd6c81-e2f2-4c3e-aec6-29e31a2eba67} - C:\WINDOWS\System32\aawhqckh.dll
O2 - BHO: (no name) - {BA6C6CB6-676C-4DEA-9BDA-3BC4AB075F7C} - C:\WINDOWS\System32\awtqnkh.dll
O2 - BHO: (no name) - {C4A2BDA1-A937-4169-BD88-0C9F8B59FB52} - C:\WINDOWS\System32\xxyya.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\citzwsw.exe
O4 - HKLM\..\Run: [9c270b4c] rundll32.exe "C:\WINDOWS\System32\gkecpaxw.dll",b
pour la 016 verifis si tu connais et utilise
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
C:\WINDOWS\System32\plms.exe
C:\histoire.exe
O2 - BHO: {76abe2a1-3e92-6cea-e3c4-2f2e18c6ddd1} - {1ddd6c81-e2f2-4c3e-aec6-29e31a2eba67} - C:\WINDOWS\System32\aawhqckh.dll
O2 - BHO: (no name) - {BA6C6CB6-676C-4DEA-9BDA-3BC4AB075F7C} - C:\WINDOWS\System32\awtqnkh.dll
O2 - BHO: (no name) - {C4A2BDA1-A937-4169-BD88-0C9F8B59FB52} - C:\WINDOWS\System32\xxyya.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\citzwsw.exe
O4 - HKLM\..\Run: [9c270b4c] rundll32.exe "C:\WINDOWS\System32\gkecpaxw.dll",b
pour la 016 verifis si tu connais et utilise
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
desolé pour le retard mais mon PC ne me permet plus d'accéder au ,et (mouline bcp trop).
J'ai donc répéter hijackthis en le placant sur c:. Par contre impossible de l'exécuter sans être en mode sans echec (même en modifiant son nom)
Voici le rapport. Merci pour votre aide.
Logfile of HijackThis v1.99.1
Scan saved at 22:20:31, on 05/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\plms.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\schedhlp.exe
C:\histoire.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\schedhlp.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {76abe2a1-3e92-6cea-e3c4-2f2e18c6ddd1} - {1ddd6c81-e2f2-4c3e-aec6-29e31a2eba67} - C:\WINDOWS\System32\aawhqckh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BA6C6CB6-676C-4DEA-9BDA-3BC4AB075F7C} - C:\WINDOWS\System32\awtqnkh.dll
O2 - BHO: (no name) - {C4A2BDA1-A937-4169-BD88-0C9F8B59FB52} - C:\WINDOWS\System32\xxyya.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\citzwsw.exe
O4 - HKLM\..\Run: [9c270b4c] rundll32.exe "C:\WINDOWS\System32\gkecpaxw.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O23 - Service: Acronis Scheduler_Helper - Unknown owner - C:\WINDOWS\schedhlp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Microsoft PowerPoint Application - Unknown owner - C:\WINDOWS\System32\dllcache\winppa.exe
O23 - Service: Program Learning Management System (PLMS) - Unknown owner - C:\WINDOWS\System32\plms.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
là ton rapport révele bie des choses tel que trojens etc
en attendant monsieur Jacques, désinstalle spyware doctor stp via ajout/sup programmes
aussi lance ce 2 programmes :
1/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
2Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
bises