[Résolu] Virus qui veut pas être supprimé!!

madje · Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand

salut à tous,
alors voici un log d'un ami, son antivirus (sécuritoo de wanadoo) détecte 1 virus et il dit qu'il ne peut pas être supprimé mais seulement renomé donc je vous poste ce log

[ *** scan hijackthis supprimé par Laurent *** ]

vin-moi · Posté le: 17 Jan 2006 à 12:25 Sujet du message:

Et ton amis n'a pas d'antivirus ? C'et toujours plus propre de supprimer un virus avec un antivirus que de supprimer seulement l'entrée dans la base de registre !

Installe Avast! ou bitdefender 8 free edition, met à jour et fait un scan en mode sans echec Smile

Si tu tient seulement à supprimer la clé par hijackthis, essaye aussi en mode sans echec.

Si il revient encore, désactive la restauration système (tappe "restauration" dans rechercher sur depannetonpc tu trouveras un article).

Et refait l'opération précédente Smile

.

Pense à vider les dossier temporaires comme C:\WINDOWS\TEMP .
_________________

madje · Posté le: 17 Jan 2006 à 13:03 Sujet du message:

si il a un antivirus je l'ai marqué en haut c'est securitoo de wanadoo mais en mode sans échec l'antivirus veut pas se lancer.
Dans c:/windows/temp je dois supprimer tout les dossier qu'il y a dedans ou je dois ouvrir chaque dossier et le vider?

vin-moi · Posté le: 17 Jan 2006 à 13:28 Sujet du message:

Ah ok désolé j'ai lu trop vite.

tu vide completement le dossier temp.

vide aussi C:\Documents and Settings\[nom d'utilisateur]\Local Settings\Temp (dossier caché).

Désactive la restauration système et refait un scan.

Quel est le nom du virus ? l'extension du fichier infecté ? Tu as vérifié qu'il ne tournait pas en tâche de fond ? (CTRL+ALT+SUPPR) ? Quel est le message de sécuritoo disant qu'il ne peut pas supprimer ce virus ?

Dinon, ton log hijackthis montre que t'es à fond amoureux de MyWebSearch Very Happy

A supprimer :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.esubqoudtsjdp.net/3PUDMPyjDyAyr9WzYpKAYhIEn7KbZ/4Zmpb_LUR1oN2lBw7j1hg VmmR2V7KEN43l.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qmkcshzwoddcrdikcnefcxit.com/3PUDMPyjDyAJ1PWJECltu4eiUpB_SkytoyIiXd6q 564.html

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing) (si tu connais pas ou que tu juge inutile)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe (si tu connais pas)

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN

Pense à supprimer ces lignes en mode sans echec , et seulement après avoir vider les deux dossiers temporaires indiqués précédemment.

Mais avant de faire ceci, pense bien à faire un scan antispyware avec ad-aware ainsi que spybot (mis à jour) et en mode sans echec. Vérifie également que mywebsearch n'est pas désinstallable dans ajout/suppression de programme.

Si tu suis ces étapes ca devrait dejà mieux aller.

Et pour plus d'indications pour supprimer ce méchant spyware, c'est ici (tu noteras au passage sa popularité Wink

)
_________________

madje · Posté le: 17 Jan 2006 à 13:34 Sujet du message:

il me semble que je lui avait désinstaller déjà une fois mywebsearch mais il a du reinstallé ou sa soeur vu que c'est le pc familial (et ils sont tous bon à rien sur un pc sauf sur word Laughing

bien que je ne sois pas un expert sur pc non plus Rolling Eyes

) ok ba je passerais tout à l'heure chez lui et je le ferais je te dirais ce soir si sa a marché Smile

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Bonjour,

En plus des lignes données plus haut fixe aussi ca

O4 - HKLM\..\Run: [soft grey poll rdr] C:\Documents and Settings\All Users\Application Data\deadsizesoftgrey\jugselse.exe

et ca je confirme aussi c'est a virer

O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe

et supprime ce dossier

C:\Program Files\MyWebSearch

apres quoi nettoyage en vidant
corbeille
dossiers temporaires
fichiers internet temporaires

en utilisant Ccleaner ou clearprog par exemple ca simplifiera les choses.

madje · Posté le: 17 Jan 2006 à 20:02 Sujet du message:

ok merci je lui ai deja installé regcleaner et ad aware et je lui ai dit de supprimer mysearchweb. Demain je lui fixerais les lignes

madje · Posté le: 25 Jan 2006 à 21:30 Sujet du message:

alors voila j'ai passé spybot et ad aware à jour et en mode sans échec spybot a trouvé mywebsearch et l'a supprimé donc je poste un nouveau log

[ *** scan hijackthis supprimé par Laurent *** ]

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

donc reste ces lignes à fixer en mode sans echec

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tqlsaoqcypnfokggtmiij.com/hHooUkmYpjhsLSHNgJrXul6bAyvLZ0B1eirXCAT9150 QBteu1HxUeqMiIl3equeu.jpg
O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing)

pour le reste c'est ok
une chose a controler apres redemarrage c'est la ligne R1. Si elle ne réapparait pas c'est OK sinon il faudra utiliser une méthode un peu plus invasive

madje · Posté le: 25 Jan 2006 à 22:04 Sujet du message:

c'est bon la ligne ne réaparait pas
merci à tous, l'ordi de mon pote ne plante plus grace à vous! vous en avez réparé un paquet de pc depuis ue je viens sur le site!! merci encore Smile

madje · Posté le: 25 Jan 2006 à 22:11 Sujet du message:

j'ai oublié une petite question:
quand on a une session administrateur sur xp on peut rentrer sur une session limité sans avoir besoin du code??

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Pas certain cependant l'administrateur peut changer le code de l'utilisateur sans en connaitre l'ancien ce qui dans la pratique reviend au même

madje · Posté le: 25 Jan 2006 à 22:39 Sujet du message:

et comment on fait pour faire ce petit changement??(si tu veux pas le dire sur le forum un petit message privé)

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

cela doit pouvoir se faire directement du panneaux de configuration et gestion des utilisateurs

madje · Posté le: 25 Jan 2006 à 23:00 Sujet du message:

ok merci j'essaye sa demain et je te dis

Bienvenue : Connexion \| Inscription
La date/heure actuelle est 26 Nov 2024 à 22:05	FAQ \| Rechercher \| Membres \| Groupes

[Résolu] Virus qui veut pas être supprimé!! Aller à la page 1, 2 Suivante
Ce que nous vous conseillons : Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.

	DepanneTonPC Index du Forum -> Sécurité	Toutes les heures sont au format GMT + 2 Heures Aller à la page 1, 2 Suivante
Page 1 sur 2