Forum Clubic

[Need Help] Virus ou pas ? - winfixer

Voila , bonsoir a tous, je voudrais tout simplement savoir, si “winfixer” était un virus, car je ne connais pas du tout, cela vient de s’afficher sur mon écran et ca ne veut plus s’enlever …

http://img62.imageshack.us/my.php?image=virusoupas3bp.jpg

Voila merci a tous et bonne soirée :slight_smile:

:hello: tu as résolu ton problème ou pas?

Télécharge :

Hijackthis 1.99.1

  • L’enregistrer dans 1 dossier dédié : C:\HijackThis (on a dit C!!) :whistle:
  • Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée
  • Récupérer ce log/texte avec le bloc-notes
  • Le copier/coller ici

Ewido
Lancer le scan en mode sans échec (impératif)
sauvegarder le rapport (txt.files) le copier/coller ici

Dans le log Hjck. possible que tu trouves des BHO d’installées, types : apdd.dll, unip.dll, etc… et possible infection coolwebsearch en zone de confiance and Co

Salut, merci a toi pour cette réponse :wink:
Donc j’espere que ces quelques lignes pourront t’aider à résoudre mon problème :frowning:

Logfile of HijackThis v1.99.1
Scan saved at 21:46:55, on 04/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\program files\powerstrip\pstrip.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Propriétaire\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.maxiscoot.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.maxiscoot.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\…\Run: [Windows Updater Online] winupdate32.exe
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [NI.UWFX5V_0001_0725] “C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0725NetInstaller.exe”
O4 - HKLM\…\RunServices: [Windows Updater Online] winupdate32.exe
O4 - HKCU\…\Run: [SIDEBAR] “C:\Program Files\Desktop Sidebar\dsidebar.exe”
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra ‘Tools’ menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC…bin/AvSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC…n/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse…pdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O18 - Filter: text/html - {1AD98A2A-C712-4C0B-A823-12F134C80AD4} - C:\Documents and Settings\Propriétaire\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
O23 - Service: Service d’interruption SNMP (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

Tu n’as pas grand chose en comparaison des logs infectés par Winfixer - tu disposes de plus d’outils de sécu aussi

C:\Documents and Settings\Propriétaire\Local Settings\Temp\HijackThis.exe :paf:

Fait absolument migrer Hijack dans un nouveau dossier dédié sur C!Hijackthis.exe! ou désintalle-le et refait l’upload si tu n’y arrives pas

Télécharge CCleaner
CCleaner est un outil d’optimisation de votre ordinateur en supprimant les fichiers inutiles relatifs à Windows. Il supprime les fichiers Internet Temporaires (Cache) d’Internet Explorer, Cookies, historiques, Index.dat, Corbeille, Fichiers Temporaires, Urls récemment visités et non utilisés de votre système le rendant ainsi plus rapide et performant sans oublier l’espace disque récupéré après effacement de ces fichiers. Il efface aussi la liste de MRUs (Most Recently Used - Utilisés le Plus Récemment). Ils peuvent être supprimés si l’utilisateur le souhaite comprenant ceux de Netscape, Office XP, Nero, Acrobate d’adobe, WinRAR, WinAce, etc… Il a un module de balayage avancé. Scanne le registre pour enlever les entrées invalides et inutilisées.
http://www.ordi-netfr.com/ccleaner.php

1) affiche les dossiers cachés et protégés
“Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!coche!] “Afficher les fichiers et dossiers cachés”
Pour afficher les autres fichiers cachés>>[!décoche!] la case “Masquer les fichiers protégés du système d’exploitation”

2) désactive la restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

3) passe en mode sans échec

A partir d’ici et pour toute la procédure, tu es en mode sans échec (impératif)

  • Lance Ewido/scanne/sauvegarde le rapport (text.files)

  • Relance Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée

fix checked

O4 - HKLM\…\Run: [Windows Updater Online] winupdate32.exe* [1 fix]
O4 - HKLM\…\Run: [NI.UWFX5V_0001_0725] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0725NetInstaller.exe"
O4 - HKLM\…\RunServices: [Windows Updater Online] winupdate32.exe
[*2ème fix]

c’est un addon Msn Messenger?
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
ne fixe pas si tu reconnais ce programme

O18 - Filter: text/html - {1AD98A2A-C712-4C0B-A823-12F134C80AD4} - C:\Documents and Settings\Propriétaire\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat

ferme Hijack

  • Ouvre l’Explorateur Wind - recherche et supprime (en gras) si encore présents

UWFX5V_0001_0725NetInstaller.exe localisé–>C:\WINDOWS\Downloaded Program Files
winupdate32.exe <-- probablement localisé dans C:\WINDOWS\System32

  • Reboot en mode normal

  • Supprime la quarantaine d’Ewido (si tu pouvais sauvegarder le rapport d’analyse et la copier/coller ici avant - merci )

  • recache les fichiers système (important)

  • réactive ta restauration système (important)

  • Exécute CCleaner (toutes sessions) y compris le balayage de la *base de registre (*avec sauvegarde uniquement pour cette partie et supprimer la sauvegarde dans quelques jours lors d’un prochain scan avec nouvelle sauvegarde et ainsi de suite…)

@+