Sujet Précédent Sujet Suivant

Virus jumper

Résolu/Fermé
fafasport - 6 juin 2008 à 21:19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 7 juin 2008 à 19:40
Bonjour, mon ordi fixe, un XP, ne se lançait plus, il m'affichait un écran noir.
Aujourd'hui il a réussi à se lancer et mon antivirus a détecté "jumper" sans pouvoir l'effacer. j'ai lu sur des forums qu'il fallait télécharger HIJACKTHIS et l'effacer manuellement mais je ne suis pas assez fort pour reconnaitre le fichier. Au secours. J'écris ce post d'un ordi portable.

voici le journal de l'ordi fixe :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:38, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\WINDOWS\system32\Macromed\SHOCKW~1\SWHELP~1.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Protector Plus\PPServ.exe
C:\Protector Plus\Ppinupdt.exe
C:\Protector Plus\Pptbc.exe
C:\Protector Plus\PP2000.exe
C:\Protector Plus\PPAVMon.exe
C:\Protector Plus\POPSCAN.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Documents and Settings\MME\Mes documents\anti virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Protector Plus Taskbar Control] C:\PROTEC~1\PPTbc.EXE
O4 - HKLM\..\Run: [Protector Plus InstaUpdate] C:\PROTEC~1\PPInupdt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\RunOnce: [Shockwave Updater] "C:\WINDOWS\system32\Macromed\SHOCKW~1\SWHELP~1.EXE" -Update -1030024 -iexplore.exe6.0
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WiFi Station pour Livebox.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Protector Plus Anti-virus Monitor Service (ProtectorPlusAVMonitor) - Proland Software - C:\Protector Plus\PPAVMon.exe
O23 - Service: Protector Plus Service (UnRegistered) (ProtectorPlusService) - Proland Software - C:\Protector Plus\PPServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
A voir également:

9 réponses

Réponse 1 / 9
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 juin 2008 à 22:45
slt,
jumper ou RJUMP?


essaye ceci:

1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

3/

colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr


ou telecharge et scan avec
bit defender free
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html
1
Réponse 2 / 9
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
6 juin 2008 à 21:35
bonsoir
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\dmremote.exe
Clique sur "Send File".
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
0
fafasport
6 juin 2008 à 21:52
je t'adresse le rapport :
Fichier dmremote.exe reçu le 2008.06.06 21:48:51 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 -
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.06 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.06 -
CAT-QuickHeal 9.50 2008.06.06 -
ClamAV 0.92.1 2008.06.06 -
DrWeb 4.44.0.09170 2008.06.06 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5853 2008.06.06 -
Ewido 4.0 2008.06.06 -
F-Prot 4.4.4.56 2008.06.06 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.06 -
GData 2.0.7306.1023 2008.06.06 -
Ikarus T3.1.1.26.0 2008.06.06 -
Kaspersky 7.0.0.125 2008.06.06 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.06 -
NOD32v2 3164 2008.06.06 -
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.06 -
Prevx1 V2 2008.06.06 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.06 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.06 -
TheHacker 6.2.92.338 2008.06.06 -
VBA32 3.12.6.7 2008.06.06 -
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.06 -
Information additionnelle
File size: 15872 bytes
MD5...: bccc0554f9c509f9d65e5374383cad12
SHA1..: 5798d82a204a275bf9231ed01eeb20556b367dc0
SHA256: 54996812f50573fcb5d8c326cd22a57395409b906dcbc8d273bdc7b829aeac7a
SHA512: 0d9db296f4d2c136a642db94a26b922a739f263bb0fb4fbfdc1498d0fb12b376
4037533386e1c744ae8245a285d9d02901fb052f7bf25c49e2ba4a5b21e0e73c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1003dfc
timedatestamp.....: 0x41107d1e (Wed Aug 04 06:07:26 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x33b2 0x3400 5.66 6daee010e481fe5a7803b21fd4557cf4
.data 0x5000 0x34 0x200 0.06 03cbffffede4434fbef2f26e0d64c6de
.rsrc 0x6000 0x3a0 0x400 3.07 82fc814b706080b694419c69672c5ac5

( 4 imports )
> msvcrt.dll: _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __getmainargs, _except_handler3, _controlfp, __2@YAPAXI@Z, __initenv, exit, _cexit, _XcptFilter, _exit, _c_exit, __3@YAXPAX@Z, __set_app_type
> KERNEL32.dll: InterlockedIncrement, InterlockedDecrement, GetModuleHandleA, GetCurrentThreadId
> USER32.dll: DispatchMessageW, GetMessageW, PostThreadMessageW
> ole32.dll: CoUninitialize, CoRevokeClassObject, CoRegisterClassObject, CoInitializeSecurity, CoInitializeEx, CoReleaseServerProcess, CoAddRefServerProcess, CoCreateInstanceEx, CoTaskMemAlloc, CoTaskMemFree

( 0 exports )



merci de ton aide.
0
Réponse 3 / 9
fafasport
6 juin 2008 à 21:59
ne tient pas compte du post précédent car j'ai effectué la manip avec mon ordi port OUPS
Je n'ai plus de connection avec l'ordi fixe infecté !!!!!!
0
fafasport
6 juin 2008 à 22:11
mon post s'affiche comme résolu mais ce n'est pas le cas !!!
0
Réponse 4 / 9
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
6 juin 2008 à 22:10
OK essaye car cette ligne est ou légitime ou néfaste...
0
fafasport
6 juin 2008 à 22:16
escuse moi chimay8 mais je n'ai pas compris ce que tu voulais dire dans ton dernier post. Comme je te le dis plus haut mon pc fixe ne peux plus se connecter donc impossible d'effectuer tes instructions.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
6 juin 2008 à 22:23
juste, tu me l'as dit en plus!
tu sais pas télécharger des prog sur une clé usb?
0
Réponse 6 / 9
fafasport
6 juin 2008 à 22:35
je sais que je ne suis pas une bête en informatique mais tu m'as demandé de me rendre sur https://www.virustotal.com/gui/
de Cliquer sur parcourir et de rechercher ce fichier : C:\WINDOWS\system32\dmremote.exe. Mais c'est une étude en ligne !!! Pourquoi m'indiques tu d'enregistrer un prg sur ma clé USB ?
Merci pour ta réponse.
0
Réponse 7 / 9
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
6 juin 2008 à 22:40
non virustotal est un condensé de plusieurs antivirus et tous vont testé le fichier que tu envoie
ce qui permet d'avoir une meilleur opinion du fichier qui est douteux
si je te demande de telecharger des prog sur une cle ce sont des progs de désinfection tel antivir, malwarebytes,et/ou combofix.
0
Réponse 8 / 9
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
6 juin 2008 à 22:47
merci jlpjlp,
problème il sait pas télécharger depuis le pc infecté
@+
0
fafasport
6 juin 2008 à 23:27
j'ai effectué les différents scan des anti virus de jlpjlp sur mon pc fixe mais ils n'ont rien détecté.
je vous adresse le journal de avast :





06/06/2008 18:32:20 MME 2220 Sign of "Jumper" has been found in "*MBR0" file.
06/06/2008 18:09:39 MME 2220 Sign of "Jumper" has been found in "*MBR0" file.
06/06/2008 18:07:50 MME 1596 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
01/06/2008 19:01:15 MME 716 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
31/05/2008 21:52:46 SYSTEM 1668 An error has occured while attempting to update. Please check the logs.
31/05/2008 21:52:45 SYSTEM 1668 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
06/04/2008 13:37:19 MME 204 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
29/07/2007 16:15:46 MME 3364 Sign of "Jumper" has been found in "0" file.
26/07/2007 21:55:37 SYSTEM 1796 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
26/07/2007 21:55:37 SYSTEM 1796 An error has occured while attempting to update. Please check the logs.
28/04/2007 15:11:44 SYSTEM 1900 Sign of "Jumper" has been found in "Disque A: Secteur de boot" file.
16/04/2007 15:27:36 SYSTEM 1896 Sign of "Jumper" has been found in "Disque A: Secteur de boot" file.
12/04/2007 12:39:40 MME 1628 Sign of "Win32:Agent-FSR [Wrm]" has been found in "E:\programme\Acdsee 6.0 + Pack Fr.Par Roul's. C'est la vrai. Roul's No FaKe\Setup Powerpack 6.0\keygen.exe" file.
12/04/2007 12:39:09 MME 1628 Sign of "Win32:Agent-FSR [Wrm]" has been found in "E:\programme\Acdsee 6.0 + Pack Fr.Par Roul's. C'est la vrai. Roul's No FaKe\AcdSee Standard 6.0\keygen.exe" file.
21/01/2007 14:53:58 SYSTEM 1824 Sign of "Jumper" has been found in "Disque A: Secteur de boot" file.
18/01/2007 12:27:35 SYSTEM 216 Sign of "Jumper" has been found in "Disque A: Secteur de boot" file.
0
Réponse 9 / 9
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 juin 2008 à 19:40
vire ces deux cracks déjà en allant dans poste de travail puis

E:\programme\Acdsee 6.0 + Pack Fr.Par Roul's. C'est la vrai. Roul's No FaKe\Setup Powerpack 6.0\keygen.exe"

E:\programme\Acdsee 6.0 + Pack Fr.Par Roul's. C'est la vrai. Roul's No FaKe\AcdSee Standard 6.0\keygen.exe"

_______________________

repare windows

https://www.pcastuces.com/pratique/windows/xp/default.htm

______________________

encore des soucis?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses