Forum Clubic

Antivirus xp 2008 nouvelle victime!

bonjour,

Constatant que je ne suis pas la seule infectée par ce virus, j’ai suivi vos recommandations voici le post hijacktis. Dan vos recommandations, vous préconisez de lancer le scan de mon antivirus, je n’ai pas d antivirus, j ai essayé de telecharger antivir sans succès, il semblerait que ce virus empeche l installation de ce type de programe.
Que faire?
Merci pour votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:12, on 04/09/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\dllcache\wintcps.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllcache\winxptcp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\WINDOWS\System32\lssas.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ssms.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\WINDOWS\System32\lphct27j0eg7c.exe
C:\WINDOWS\System32\Cpl32ver.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\winthcr.exe
C:\WINDOWS\System32\pphct27j0eg7c.exe
C:\Program Files\Sakora\Sakora.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = french.ircfast2.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\Webtools\webtools.dll
O2 - BHO: bannerstyle browser optimizer - {1596a6c7-2043-7e12-90e0-5ac5754d92b0} - C:\WINDOWS\System32\vhfccrggubhhmohh.dll
O2 - BHO: Surfairy - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll
O2 - BHO: (no name) - {F737ED16-06A8-7F21-FF4D-71A2909E1AB5} - C:\WINDOWS\System32\piyavfej.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM…\Run: [WService] WService.EXE
O4 - HKLM…\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM…\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM…\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM…\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM…\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM…\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM…\Run: [Windows Update] ssms.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [Java (VM) v6.0] C:\WINDOWS\System32\jdk-1_5_0_12-windows-i386-pp\jdk.bat
O4 - HKLM…\Run: [Windows Local ISP] winthcr.exe
O4 - HKLM…\Run: [{1a0008b6-ee40-2428-4b7b-573b273b3265}] C:\WINDOWS\System32\Rundll32.exe “C:\WINDOWS\System32\vhfccrggubhhmohh.dll” DllStart
O4 - HKLM…\Run: [sms.exe] sms.exe
O4 - HKLM…\Run: [lphct27j0eg7c] C:\WINDOWS\System32\lphct27j0eg7c.exe
O4 - HKLM…\Run: [SMrhcp27j0eg7c] C:\Program Files\rhcp27j0eg7c\rhcp27j0eg7c.exe
O4 - HKLM…\Run: [Cpl32ver] C:\WINDOWS\System32\Cpl32ver.exe
O4 - HKLM…\Run: [sysrest32.exe] C:\WINDOWS\System32\sysrest32.exe
O4 - HKLM…\RunServices: [Windows Update] ssms.exe
O4 - HKLM…\RunServices: [sms.exe] sms.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [PreAnnotate] C:\WINDOWS\System32\PreAnntt.exe
O4 - HKCU…\Run: [Java (VM) v6.0] C:\WINDOWS\System32\jdk-1_5_0_12-windows-i386-pp\jdk.bat
O4 - HKCU…\Run: [Sakora] C:\Program Files\Sakora\Sakora.exe
O4 - HKCU…\Run: [SpeedRunner] C:\Documents and Settings\d\Application Data\SpeedRunner\SpeedRunner.exe
O4 - HKCU…\Run: [SfKg6wIP] C:\Documents and Settings\d\Application Data\Microsoft\Windows\cywflqc.exe
O4 - HKCU…\Run: [Sra] “C:\DOCUME~1\d\MESDOC~1\SCURIT~1\wuauclt.exe” -vt yazb
O4 - HKCU…\Run: [GetPack20] “C:\Program Files\GetPack\GetPack20.exe”
O4 - HKCU…\Run: [mjc] C:\Program Files\mjc\mjc.exe
O4 - HKCU…\Run: [sms.exe] sms.exe
O4 - HKCU…\Run: [akasium] “c:\documents and settings\d\local settings\application data\akasium.exe” akasium
O4 - HKUS\S-1-5-18…\Run: [Java (VM) v6.0] C:\WINDOWS\System32\jdk-1_5_0_12-windows-i386-pp\jdk.bat (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\Run: [Sakora] C:\Program Files\Sakora\Sakora.exe (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [Java (VM) v6.0] (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [Java (VM) v6.0] C:\WINDOWS\System32\jdk-1_5_0_12-windows-i386-pp\jdk.bat (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [Java (VM) v6.0] (User ‘Default user’)
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - EffiPeled… (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O20 - Winlogon Notify: gkrkygi - C:\WINDOWS\SYSTEM32\gkrkygi32.dll
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
O23 - Service: Microsoft XP TCP Ack Timing - Unknown owner - C:\WINDOWS\System32\dllcache\winxptcp.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE


End of file - 6772 bytes

Salut

Coche dans hijackthis [quote=""]
C:\WINDOWS\System32\dllcache\wintcps.exe
C:\WINDOWS\System32\dllcache\winxptcp.exe
C:\WINDOWS\winthcr.exe
C:\WINDOWS\System32\pphct27j0eg7c.exe
C:\Program Files\Sakora\Sakora.exe
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\Webtools\webtools.dll
O2 - BHO: bannerstyle browser optimizer - {1596a6c7-2043-7e12-90e0-5ac5754d92b0} - C:\WINDOWS\System32\vhfccrggubhhmohh.dll
O2 - BHO: Surfairy - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll
O4 - HKLM…\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM…\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM…\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM…\Run: [Windows Update] ssms.exe
O4 - HKLM…\Run: [Windows Local ISP] winthcr.exe
O4 - HKLM…\Run: [lphct27j0eg7c] C:\WINDOWS\System32\lphct27j0eg7c.exe
O4 - HKLM…\Run: [SMrhcp27j0eg7c] C:\Program Files\rhcp27j0eg7c\rhcp27j0eg7c.exe
O4 - HKLM…\Run: [sysrest32.exe] C:\WINDOWS\System32\sysrest32.exe
O4 - HKLM…\RunServices: [Windows Update] ssms.exe
O4 - HKCU…\Run: [Sakora] C:\Program Files\Sakora\Sakora.exe
O4 - HKCU…\Run: [SpeedRunner] C:\Documents and Settings\d\Application Data\SpeedRunner\SpeedRunner.exe
O4 - HKCU…\Run: [SfKg6wIP] C:\Documents and Settings\d\Application Data\Microsoft\Windows\cywflqc.exe
O4 - HKCU…\Run: [GetPack20] “C:\Program Files\GetPack\GetPack20.exe”
O4 - HKCU…\Run: [mjc] C:\Program Files\mjc\mjc.exe
O4 - HKCU…\Run: [akasium] “c:\documents and settings\d\local settings\application data\akasium.exe” akasium
O4 - HKUS\S-1-5-18…\Run: [Sakora] C:\Program Files\Sakora\Sakora.exe (User ‘SYSTEM’)
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
O23 - Service: Microsoft XP TCP Ack Timing - Unknown owner - C:\WINDOWS\System32\dllcache\winxptcp.exe
[/quote]
Puis fait fixed checked (fichier infectieux )

Après suis cette procédure


Tu n'a aucun antivirus installe s'en un, je te conseil AVG ou Antivir (tout deux disponible sur clubic) ;)
[quote=""] C:\WINDOWS\System32\lphct27j0eg7c.exe C:\WINDOWS\System32\Cpl32ver.exe O4 - HKLM\..\Run: [{1a0008b6-ee40-2428-4b7b-573b273b3265}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\vhfccrggubhhmohh.dll" DllStart [/quote] Sa aussi ;) Edité le 04/09/2008 à 20:37
Après repost un hijackthis

guigui14100,

Il y a tellement de stock la dedans.

O4 - HKLM…\Run: [sms.exe] sms.exe
www.processlibrary.com…

O4 - HKCU…\Run: [Java (VM) v6.0] C:\WINDOWS\System32\jdk-1_5_0_12-windows-i386-pp\jdk.bat

O4 - HKLM…\Run: [Cpl32ver] C:\WINDOWS\System32\Cpl32ver.exe
www.prevx.com…

O4 - HKCU…\Run: [Sra] “C:\DOCUME~1\d\MESDOC~1\SCURIT~1\wuauclt.exe” -vt yazb

Bonjour je te conseil une Analyse En mode sans Echec avec Malwarebytes et poste le rapport
www.clubic.com…
l
Mises a jour+analyse Cmpléte
Tutoriel
www.pcparadise.fr…

n oublie pas de poster le rapport

guigui14100 et remy70 on deja enlever le plus gros car faut reconnaitre il y en avait
une fois le rapport de malwarebytes posté ,si le rapport de malwarebytes ne revele rien(moins sur)
rends toi ici
avec Firefox ou Explorer
Kaspersky online scanner
www.kaspersky.com…
fermes toutes tesautres applications et desactives tes protections pendant le scan et poste le rapport

PS n oublie pas de les reactiver (protections ) aprés l analyse

ensuite de même ici
Bitdefender online scanner
www.bitdefender.com…

Bonjour a vous

j’ai exactement le même virus que la personne ci dessus, on m’a conseillé la procédure suivante : a savoir lancer un mode sans échec et commencer a “tuer” tous les processus liés au virus, puis de nettoyer la base de registres etc …

C’est ce que j’ai essayé de faire, sans succés ! Dans le mode sans échec quand je lance ctrl+alt+suppr, il me lance le gestionnaire des tache, mais ni XPAntivirus.exe, ni rien d’autre n’apparait dedans !! Je tiens a préciser que je suis totalement novice dans ce genre de problème (le mode sans échec, c’est a peine si je sais ce que c’est) alors quelqu’un pourrait il m’aiguiller le mieux possible, dans une procédure la plus simple possible histoire que je récupére mon fond d’écran et que je puisse aller sur des sites, sans être détourné.

Merci à vous.

Et crée ton propre topic sa sera plus facile pour nous de suivre :wink: