[Résolu] Virus persistants sur mon PC

[Christian54]

Bonsoir, comme je fais de temps en temps, je lance Aida 32 et je vérifie par hasard Démarrage automatique où je vois " x.exe" : ligne exacte ci-après

x Registry\Common\Run x.exe qui a été ajoutée aujourd'hui sans que je sache à quoi ça correspond. Dans les propriétés de ce fichier, aucune indication à part qu'il est dans Syst 32, effectivement.Comment s'est-il logé là??

J'ai donc passé HJT, et je vous le livre ici, pour me dire qque chose: j'ai fixé les deux lignes, refait HJT, elles y sont de nouveau.....! Est-ce normal? Sinon que dois-je faire? Je ne redémarre pas avant d'avoir eu un avis. Merci d'avance.

 

Logfile of HijackThis v1.98.2

Scan saved at 00:01:49, on 23/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe

C:\WINDOWS\System32\x.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpm.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Christian\Mes documents\ProgsInstallés\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe /wait

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [x] x.exe

O4 - HKLM\..\RunServices: [x] x.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Startup: WinTidy.lnk = C:\Program Files\WinTidy\WinTidy.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

O17 - HKLM\System\CS1\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

Modifié le 23 mai 2005 par Christian54

[queruak]

Bonjour Christian54, bonjour à tous,

 

Utilise s'il te plait la derniere version de Hijackthis,la tienne est obsolete,ainsi ..que ton systeme et ton navigateur Internet explorer.

Tu es trés en retard,tu as d'enormes failles.

 

http://www.merijn.org/files/hijackthis.zip

[Christian54]

Bonjour queruak et tous, merci de ta réponse rapide mais partielle, en effet ce programme x.exe est-il mauvais ou non? car m^me si je change la version de HJT, il sera quand m^m tjrs là, et surtout prêt à démarrer au reboot du PC, nécessaire pour tte mise à jour éventuelle. Donc, dois-je le supprimer ou le laisser en place? Merci encore.

[chercheur]

Bonjour,

 

Si Queruak te demandes d'utiliser la dernière version, cest parce qu'elle comporte plus de lignes, donc plus de renseignements.

Dans ces lignes, il y a peut être l'explication de la résistance de ces lignes.

 

télécharge HijackThis v1.99.1

http://www.merijn.org/files/hijackthis.zip

Tutorial

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

[queruak]

Bonjour  queruak et tous, merci de ta réponse rapide mais partielle, en effet ce programme  x.exe est-il mauvais ou non? car m^me si je change la version de HJT, il sera quand m^m tjrs là,

507001[/snapback]

 

Elle n'est pas partielle !

Si je te demande la derniere version,c'est parceque elle liste d'autres processus,donc d'autres eventuelles fichiers néfastes.

L'utiliser ne te coutera pas plus cher.

Poste le rapport avec la nouvelle version,le reste c'est mon probleme.

 

et surtout prêt à démarrer au reboot du PC, nécessaire pour tte mise à jour éventuelle.

 

Tu es en retard de plusieurs années dans tes mises à jour.

 

Edit:bonjour chercheur !

Modifié le 23 mai 2005 par queruak

[Christian54]

Merci encore à tous, j'avais bien l'intention de suivre pour HJT ( ce qui est fait!):

Logfile of HijackThis v1.99.1

Scan saved at 09:38:48, on 23/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe

C:\WINDOWS\System32\x.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpm.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\PopTray\PopTray.exe

C:\Documents and Settings\Christian\Mes documents\Mes téléchargements\hijackthis-1\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe /wait

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [x] x.exe

O4 - HKLM\..\RunServices: [x] x.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Startup: WinTidy.lnk = C:\Program Files\WinTidy\WinTidy.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

O17 - HKLM\System\CS1\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe" /Service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

[queruak]

Rebonjour,

 

Je regarde ton rapport,réponse dans quelques instants.

 

Au fait as tu un pare-feu ?

[queruak]

Rebonjour,

 

As tu un programme de ce nom X Server sur ton PC ?

 

"XoftWare pour Windows" permet d'exécuter des programmes réseau UNIX ("X programs" ou "clients") côte à côte avec des applications Windows sur un ordinateur personnel.

[Christian54]

@ queruak à ma connaissance Non, j'ai vérifié avec RegSeeker et JV16: néant. J'avais déjà été voir les définitions de ce truc, sans plus d'informations sur la cause possible de l'install ( et je n'ai pas été sur les sites XXX depuis fort longtemps ). Par ailleurs, je n'utilise que le PF de XP, volontairement, malgré ce que tt le monde endit. Par contre j'installe sélectiv. tous les correctifs en rapport avec ma config. les tests de sécurité sur le site, et sur ShieldsUp sont tjrs "félicitations, etc.......". Mais ça c'est un peu secondaire, pour ne pas occuper le forum inutilement, d'autres ont sûrement besoin de vos services aussi. A +.

[queruak]

Rebonjour,

 

X.exe est aussi un programme pour crypter les fichiers et dossiers.

 

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-2-Termine le(s) processus suivant(s).

-x.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

 

-3-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe /wait

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [x] x.exe

O4 - HKLM\..\RunServices: [x] x.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Startup: WinTidy.lnk = C:\Program Files\WinTidy\WinTidy.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

O17 - HKLM\System\CS1\Services\Tcpip\..\{14AA615C-CEEA-4000-BC88-695369B6EDDB}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\avpcc.exe" /Service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

-4-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-5-Redémarre en mode sans echec.

Comment démarrer Windows XP en mode sans échec

 

-6-Supprime le fichier suivant.

 

C:\WINDOWS\System32\x.exe<-le fichier

 

-Vide la corbeille.

 

-7-Redémarre normalement et poste un nouveau log Hijackthis.