Virus non identifié, mais bien lourd

kochemar · Mai 4, 2006, 9:44

bonjour,
J’ai un souci sur mon portable.
Déjà au boot, durant le chargement windows, j’ai droit au doux chant du speaker sous la forme de “bip bip bip etc” à répétition, obligé de tapoter le clavier pour relancer le chargement.

Une fois sous windows, le “jeu” du virus consiste à m’ouvrir en chaine tout les fichiers help du programme que j’active.

Par exemple, si je fais pas ctrl+alt+sup dès l’arrivée sur le bureau j’ai droit à helpctr.ext (fichier d’aide win) qui s’ouvre 20/25 fois jusqu’à saturer la mémoire.

Cette réaction est valable pour tout autre soft.
même si je kill, ca se réouvre.

bref, parfois c’est pluscalme (comme now).

j’ai essayer de trouver la source avec moult antivirus, Rien

je colle mon hijackthis au cas où certains ici sauraient le décrypter.

merci par avance pour votre aide.
si besoin de plus d’infos, je tacherai d’y répondre bien sur.

(je n’écarte pas un souci materiel, mais un truc bizarre comme ca j’ai un doute…)

Logfile of HijackThis v1.99.1
Scan saved at 11:10:05, on 04/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Picasa\PicasaMediaDetector.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\…\Run: [ShStatEXE] “C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE” /STANDALONE
O4 - HKLM\…\Run: [McAfeeUpdaterUI] “C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe” /StartedFromRunKey
O4 - HKLM\…\Run: [Network Associates Error Reporting Service] “C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe”
O4 - HKLM\…\Run: [LifeScape Media Detector] C:\Program Files\Picasa\PicasaMediaDetector.exe
O4 - HKLM\…\Run: [Samsung Common SM] “C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe” /autorun
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM\…\Run: [BHR4.1] C:\Program Files\Zamaan’s Software\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.samsunggsbn.com
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

alain77310_1_1 · Mai 5, 2006, 12:38

[salut

jette un oeil

http://www.symantec.com/region/fr/techsupp…bankash.g.html

tu peu ensuite cocher les lignes

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

O4 - HKLM\…\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\…\Run: [BHR4.1] C:\Program Files\Zamaan’s Software\Browser Hijack Retaliator 4.1\BHR4.1.exe

O15 - Trusted Zone: *.samsunggsbn.com

eventuellement celle ci si tu ne connais pas ce site

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab

@+

Squalie · Mai 6, 2006, 3:53

sinon tu pourrais juste avoir la touche F1 de ton clavier qui déconne …

kochemar · Mai 6, 2006, 12:54

Merci pour ce zest d’intention, mais j’ai bien peur que ce ne soit les mêmes symptomes dont je sois victime par rapport à ceux décrit sur le lien symantec.

Donc tjours même point.

Par contre, la touche F1 défectueuse j’y avais pas pensé, mais ce ne peut pas être ça, car si étrangement si je fais ctrl/alt/supr dès le début de la session, je n’ai pas ce souci de launcher en boucle de fenetre d’help.exe, par contre c’est ce bip bip bip du speaker qui me rend fou au chargement !!!

extraterrestre · Mai 6, 2006, 2:19

Salut,

Apparemment il s’agit d’“un virus”, il faut se rendre dans la base de registre et le supprimer dans ces trois clés:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

:hello:

alain77310_1_1 · Mai 6, 2006, 11:56

ben si regarde bien

Enregistre les demandes POST HTTP dans %Windir%\logs\[ALEATOIRE].post si l’URL contient l’une des chaînes suivantes :

safeform.com
northeast.on.ca

prudential.com.hk
sammikk.com
samsunggsbn.com ça c’est batard et le lien que j’ai donneril est bon mais bon c’est toi qui fais ca que tu veux

sbc.com
s-central.com.au

capitaine_choc · Mai 7, 2006, 12:37

t’es malade, il a probablement des programmes important qui se lancent de cette manière!!

capitaine_choc · Mai 7, 2006, 12:44

Using english words in french as slang is very childish.

_Ric_1_1 · Mai 7, 2006, 1:13

Faut lire en french ou en english, comme tu veux, mais en français il dit de le supprimer à ces 3 endroits, pas supprimer ces 3 clés … :whistle:

capitaine_choc · Mai 7, 2006, 1:33

autant pour moi, mea culpa!

juju251 · Mai 7, 2006, 7:59

Pour les problèmes de virus, il existe un topic officiel avec la procédure de désinfection.

http://www.clubic.com/forum/-topic-officie…pc-t323378.html

Merci de bien vouloir le consulter, et poster dessus si besoin. :jap:

kochemar · Mai 10, 2006, 9:58

Merci pour ces pistes…

Pour info, samsunggsbn.com correspond un programme permettant de s’identifier sur un réseau entreprise, celui de samsung en l’occurence.

Mais vous avez surement raison, je vais virer toutes traces de ce bidule, d’autant plus que je n’y ai plus accès.

merci encore pour l’aide
(surtout à Mr Alain de St Fargeau, je vais creuser plus dans ton sens)

pitinonoz · Mai 10, 2006, 10:10

:hello: Salut !!

Su tu as une tonne de bips au démarrage, alors oui je pencherai pour ta touche F1 qui deconne !!! Tu as essayer de la demonter, ou de la relever un peu (ptet un faux contact :neutre:) ??