virus tenaces 0mcamcap.exe et autres dxvwycky.exe

[noumea2006]

Bonjour,

 

Un ami m'a confié son pc car il rebootait tout le temps. Redémarrage du type lovesan. J'ai épuisé mes maigres compétences et suis à cours de solutions.

 

Ce PC fonctionne sous winxp edition familiale avec SP2

 

Voici quelques symptomes:

 

L'ordinateur reboote sans cesse même sans ouverture de session utilisateur

 

Le mesage apparaissant est "Arrêt du système blablabla initié par AUTORITE NT\SYSTEM temps restant blabli blabla....

 

Message Windows doit maintenant redémarrer car le service lanceur de processus serveur DCOM s'est terminé de façon inattendue"

 

La seule solution pour travailler sur le PC est de modifié l'horloge windows pour donner plus de temps au système avant de rebooter.

 

J'ai installé kaspersky.

 

Fait plusieurs scans qui m'ont trouvé des virus style dxwycky.exe et d'autres que je n'ai pas eu la présence d'esprit de noter et que j'ai cru avoir supprimé.

 

Utilisé smitfraudfix et spybot search and destroy.

 

Il reste toujours dans le gestionnaire des tâches des processus comme 0mcamcap notamment et je suis dans l'impasse.

 

Kaspersky ne fonctionne plus car il ne veut plus mettre les bases antivirus à jour et la protection contre les attaques réseau est désactivée (sans doûte le virus)

 

J'ai téléchargé hijackthis et attends de l'aide.

 

D'avance merci

Modifié le 25 mai 2006 par noumea2006

[Malekal_morte]

Re Bonjour noumea2006'

 

Tu as déjà un sujet ici : http://forum.telecharger.com/telecharger/s...messages-1.html

[noumea2006]

Re Bonjour noumea2006'

 

Tu as déjà un sujet ici : http://forum.telecharger.com/telecharger/s...messages-1.html

 

 

merci Malekal morte de ta réponse rapide

 

voici mon rapport de hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 12:46:14, on 25/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\VeriSign\NAVI\naviagent.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Denis\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soltek] C:\WINDOWS\System32\autorun.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\Run: [jssvc23] jsssvc.exe

O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwohhh.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1055.dll,InstantAccess

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe (file missing)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9/ticker.cab

O16 - DPF: {E3943A24-2F83-4505-9AE5-F705E81B50CB} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1055_XP.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CCS\Services\Tcpip\..\{DDC086BF-B9B0-462D-8230-AD509C5D2F29}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS1\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS2\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O17 - HKLM\System\CS3\Services\Tcpip\..\{032B0351-FAB4-40D0-9143-F883333D30B7}: NameServer = 85.255.116.123,85.255.112.89

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Microsoft Time server - Unknown owner - C:\WINDOWS\system32\timesrv.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Malekal_morte]

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

[noumea2006]

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

 

 

Merci je vais faire ça mais je dois avant sacrifier au traditionnel repas de famille

 

A tout à l'heure et merci encore

[noumea2006]

Merci je vais faire ça mais je dois avant sacrifier au traditionnel repas de famille

 

A tout à l'heure et merci encore

 

 

Me revoici

 

 

Voici le rapport fsbl

 

05/25/06 22:38:17 [info]: BlackLight Engine 1.0.36 initialized

05/25/06 22:38:17 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/25/06 22:38:18 [Note]: 7019 4

05/25/06 22:38:18 [Note]: 7005 0

05/24/06 22:40:08 [Note]: 7006 0

05/24/06 22:40:08 [Note]: 7011 316

05/24/06 22:40:09 [Note]: 7026 0

05/24/06 22:40:09 [Note]: 7026 0

05/24/06 22:40:09 [Note]: 7015 536

05/24/06 22:40:09 [Note]: 7015 5

05/24/06 22:40:09 [Note]: 7015 1208

05/24/06 22:40:09 [Note]: 7015 5

05/24/06 22:40:15 [Note]: FSRAW library version 1.7.1015

05/24/06 23:02:36 [Note]: 7007 0

 

 

Apparemment il n'a rien trouvé.

 

Ni d'aiileurs kaspersky qui remarche (le changement de l'horloge l'avait déstabilisé dans les dates de ses mises à jour.)

 

Je n'ai désormais plus de processus bizarres me semble -t'il mais l'ordi ne cesse de vouloir redémarrer par "Arrêt du Système" comme indiqué au début de mon message.

 

S'agit-il vraiment d'un virus ou d'une panne ou d'une instabilité d'XP?

 

Merci d'être encore présent à cette heure tardive

[Malekal_morte]

Je n'ai désormais plus de processus bizarres me semble -t'il mais l'ordi ne cesse de vouloir redémarrer par "Arrêt du Système" comme indiqué au début de mon message.

 

S'agit-il vraiment d'un virus ou d'une panne ou d'une instabilité d'XP?

 

Merci d'être encore présent à cette heure tardive

 

En partant du principe que tu n'as rien fait sur un autre forum.

Je vais dire que tu as des virus qui rende Windows instable.

 

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\Run: [jssvc23] jsssvc.exe

O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwohhh.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1055.dll,InstantAccess

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"

O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe (file missing)

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {E3943A24-2F83-4505-9AE5-F705E81B50CB} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1055_XP.cab

20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

 

--> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets à jour ewido à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

-- Redémarre en mode normal

 

- Nettoye ton ordinateur avec CCleaner

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- Poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

[noumea2006]

En partant du principe que tu n'as rien fait sur un autre forum.

Je vais dire que tu as des virus qui rende Windows instable.

 

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\Run: [jssvc23] jsssvc.exe

O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwohhh.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1055.dll,InstantAccess

O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe t

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"

O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\Denis\Application Data\MP3Chansons[1].exe (file missing)

O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab

O16 - DPF: {E3943A24-2F83-4505-9AE5-F705E81B50CB} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1055_XP.cab

20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

 

--> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets à jour ewido à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

-- Redémarre en mode normal

 

- Nettoye ton ordinateur avec CCleaner

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- Poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

 

 

Rebonsoir ami couche tard!

 

J'ai suivi tes instructions à la lettre mais je suis bloqué à une étape

 

Quand fixwareout redémarre le pc je me retrouve dans la position de départ :

 

pour mémoire

 

"L'ordinateur reboote sans cesse même sans ouverture de session utilisateur

 

Le message apparaissant est "Arrêt du système blablabla initié par AUTORITE NT\SYSTEM temps restant blabli blabla....

 

Message Windows doit maintenant redémarrer car le service lanceur de processus serveur DCOM s'est terminé de façon inattendue"

 

La seule solution pour travailler sur le PC est de modifier l'horloge windows pour donner plus de temps au système avant de rebooter."

 

Or fixwareout n'a pas le temps de fixer le système au redémarrage puisque celui-ci est plus lent et ne me donne pas accès à l'horloge à temps (je n'ai que 60 secondes pour le faire) et donc le système s'arrête et reboote.

 

Merci de ton aide précieuse @+

[Thanos]

salut noumea2006,Malekal_morte

 

excusez moi d'intervenir dans la discussion!On aurait besoin d'analyser deux fichiers qui se trouvent sur ton pc

 

noumea2006 et pour lesquels on a pas d'infos suffisantes : artm_new.dll

 

* Ce fichier, tu le trouveras dans le répertoire suivant=>

 

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

 

* et ce fichier => jsssvc.exe

 

pour le trouver, lance une recherche avec l'assistant de recherche intégré à Windows (certainement présent dans le répertoire C:\WINDOWS\system32)

 

certains fichiers/dossiers sont cachés!! pour les voir si c'est le cas=>

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Peux tu envoyer ces fichiers à l'adresse suivante chez S!RI=>

 

http://siri.urz.free.fr/upload

 

merci beaucoup, en connaissant ces fichier, on peux lutter plus efficacement contre l'infection

 

le lien pour vers la discussion pour Malekal=> http://forum.zebulon.fr/index.php?showtopi...=0entry746517

Modifié le 26 mai 2006 par charles ingals

[noumea2006]

salut noumea2006,Malekal_morte

 

excusez moi d'intervenir dans la discussion!On aurait besoin d'analyser deux fichiers qui se trouvent sur ton pc

 

noumea2006 et pour lesquels on a pas d'infos suffisantes : artm_new.dll

 

* Ce fichier, tu le trouveras dans le répertoire suivant=>

 

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

 

* et ce fichier => jsssvc.exe

 

pour le trouver, lance une recherche avec l'assistant de recherche intégré à Windows (certainement présent dans le répertoire C:\WINDOWS\system32)

 

certains fichiers/dossiers sont cachés!! pour les voir si c'est le cas=>

Peux tu envoyer ces fichiers à l'adresse suivante chez S!RI=>

 

http://siri.urz.free.fr/upload

 

merci beaucoup, en connaissant ces fichier, on peux lutter plus efficacement contre l'infection

 

le lien pour vers la discussion pour Malekal=> http://forum.zebulon.fr/index.php?showtopi...=0entry746517

 

 

Bonjour Charles Ingals,

apparemment les quelques manips déjà effectuées m'ont débarrassé de ces 2 fichiers jvsss.exe et artm_new.dll

 

Je n'ai malgré tes bonnes explications pas pu les trouver

 

@+