plantage avec windows 98

[anatole]

Bon,

 

Le problème c'est que je n'arrive pas à trouver un site qui indique en FRANCAIS comment s'en débarasser !!

 

Je viens de faire un coup de HiJackthis qui ne parle pas de ces deux là ??? :

Virus:Trj/Bookmark.D No Désinfecté C:\WINDOWS\SYSTEM\mtwirl32.dll

Virus:Trj/StartPage.CS No Désinfecté C:\WINDOWS\SYSTEM\mtwirl.dll

??????????????

 

Ces deux là :

Virus:Trj/Downloader.CB No Désinfecté C:\zzPoubel\javasys.exe

Virus:Trj/StartPage.CS No Désinfecté C:\zzPoubel\MSHELPER.DLL

 

sont déjà dans une de mes poubelles : je n'étais pas sûr de pouvoir les détruire !!

 

Voilà le résultat de HiJack this :

Logfile of HijackThis v1.97.7

Scan saved at 22:05:18, on 13/06/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\PROGRAM FILES\AVGANTIVIRUS\AVGSERV9.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\KHOOKER.EXE

C:\WINDOWS\MIXER.EXE

C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE

C:\PROGRAM FILES\AVGANTIVIRUS\AVGCC32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\PROGRAM FILES\THE CLEANER\TCA.EXE

C:\PROGRAM FILES\THE CLEANER\TCM.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\INTERNET6\IEXPLORE.EXE

C:\PROGRAM FILES\A2\A2GUARD.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\TEMPORARY INTERNET FILES\CONTENT.IE5\KHEZW9UB\HIJACKTHIS[1].EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = mon internet à moi que j 'ai !

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVGANT~1\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [tcactive] C:\PROGRAM FILES\THE CLEANER\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAM FILES\THE CLEANER\tcm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\AVGANT~1\Avgserv9.exe

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html

O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\SYSTEM\TOOLBAR.DLL/SEARCH.HTML

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)

O9 - Extra button: Copernic Agent (HKLM)

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04f219225980e9...RdxIE601_fr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

 

Le problème pour les non initiés et qui parlent mal anglais, c'est de savoir ce qu'on doit et peut faire sans risquer de tout planter !!!!

 

Re-bonsoir

[Invité tesgaz]

bon, tu devrais pouvoir virer tout ca :

C:\WINDOWS\SYSTEM\KHOOKER.EXE

C:\WINDOWS\MIXER.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

 

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html

O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\SYSTEM\TOOLBAR.DLL/SEARCH.HTML

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04f219225980e9...RdxIE601_fr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

[anatole]

Merci,

 

Quand tu dis "virer tout ça" = bien détruire totalement la clef dans le registre ?

 

Où puis-je trouver les infos pour nettoyer ces virus trouvés :

Virus:Trj/Bookmark.D No Désinfecté C:\WINDOWS\SYSTEM\mtwirl32.dll

Virus:Trj/StartPage.CS No Désinfecté C:\WINDOWS\SYSTEM\mtwirl.dll

 

et même ceux-là car le fait de simplement virer le fichier, ne doit pas tout nettoyer :

 

Virus:Trj/Downloader.CB No Désinfecté C:\zzPoubel\javasys.exe

Virus:Trj/StartPage.CS No Désinfecté C:\zzPoubel\MSHELPER.DLL

 

Bonne semaine

[ipl_001]

Bonsoir anatole, bonsoir à tous,

 

Merci,

 

Quand tu dis "virer tout ça" = bien détruire totalement la clef dans le registre ?

 

Où puis-je trouver les infos pour nettoyer ces virus trouvés :

Virus:Trj/Bookmark.D No Désinfecté C:\WINDOWS\SYSTEM\mtwirl32.dll

Virus:Trj/StartPage.CS No Désinfecté C:\WINDOWS\SYSTEM\mtwirl.dll

 

et même ceux-là car le fait de simplement virer le fichier, ne doit pas tout nettoyer :

 

Virus:Trj/Downloader.CB No Désinfecté C:\zzPoubel\javasys.exe

Virus:Trj/StartPage.CS No Désinfecté C:\zzPoubel\MSHELPER.DLL

 

Bonne semaine

anatole, tu m'as l'air ultra prudent mais, ce faisant, tu collectionnes les malwares !

mtwirl32.dll

-> http://www.2-spyware.com/parasite-coolwebs...h-mtwirl32.html

-> http://securityresponse.symantec.com/avcen...okmarker.c.html

mtwirl.dll

-> http://www.computercops.biz/postitle37566-0-0-.html

-> http://www.wilderssecurity.com/showpost.ph...73&postcount=12

javasys.exe

Javasys.exe -> TROJ_SMALL.W

-> http://www.trendmicro.com/vinfo/virusencyc...me=TROJ_SMALL.W

MSHELPER.DLL

http://www.computercops.biz/postitle37566-0-0-.html

 

Je n'ai pas eu la patience de chercher plus longuement mais tes 4 fichiers sont des chevaux de Troie !

Ce ne sont pas des virus c'est à dire que les fichiers en question sont à supprimer ! ce ne sont pas des fichiers de ton système !

Tu penses qu'il est prudent de conserver tes fichiers "au cas où" mais tu prends de gros risques !!!

 

Installe les protections nécessaires ! nettoie ton système !

[anatole]

Bonsoir

 

Merci à IPL_001

 

Certes à être trop prudent on peut courir des dangers !! bon j'ai détruit les 4 chevaux de troie

 

Pour le message de tesgaz, je retrouve mon ultraprudence !!! Je n'arrive pas à voir si je peux détruire ces entrées de registre ou s'il faut en modifier la valeur :

Tout ce qui est "http://nkvd.us/1507/".... ça, je suis sûr que ce sont les restes d'une infection précédente

Mais par exemple ça : "R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr" .... est-ce que ce n'est pas ma page d'ouverture IE par défaut ???

OU pour "KHOOKER.EXE" = j'ai vérifié que c'est un programme lié à mon... ? processeur SiS Compatible Super VGA Keyboard Daemon

 

Enfin, à moi aussi de me débrouiller tout seul et de bien me......protéger avant de surfer !!!

 

Merci et bonne semaine

[Invité tesgaz]

salut,

 

si tu supprimes le R1, il se recréer automatiquement des que tu choisis ta page de démarrage, donc pas de soucis

 

quand à KHOOKER.EXE, il n'a rien à faire dans les programmes au démarrage de ta machine