Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 17 Jan 2006 à 12:21 Sujet du message: [Résolu] Virus qui veut pas être supprimé!! |
|
|
salut à tous,
alors voici un log d'un ami, son antivirus (sécuritoo de wanadoo) détecte 1 virus et il dit qu'il ne peut pas être supprimé mais seulement renomé donc je vous poste ce log
[ *** scan hijackthis supprimé par Laurent *** ] |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 17 Jan 2006 à 12:25 Sujet du message: |
|
|
Et ton amis n'a pas d'antivirus ? C'et toujours plus propre de supprimer un virus avec un antivirus que de supprimer seulement l'entrée dans la base de registre !
Installe Avast! ou bitdefender 8 free edition, met à jour et fait un scan en mode sans echec
Si tu tient seulement à supprimer la clé par hijackthis, essaye aussi en mode sans echec.
Si il revient encore, désactive la restauration système (tappe "restauration" dans rechercher sur depannetonpc tu trouveras un article).
Et refait l'opération précédente .
Pense à vider les dossier temporaires comme C:\WINDOWS\TEMP . _________________ |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 17 Jan 2006 à 13:03 Sujet du message: |
|
|
si il a un antivirus je l'ai marqué en haut c'est securitoo de wanadoo mais en mode sans échec l'antivirus veut pas se lancer.
Dans c:/windows/temp je dois supprimer tout les dossier qu'il y a dedans ou je dois ouvrir chaque dossier et le vider? |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 17 Jan 2006 à 13:28 Sujet du message: |
|
|
Ah ok désolé j'ai lu trop vite.
tu vide completement le dossier temp.
vide aussi C:\Documents and Settings\[nom d'utilisateur]\Local Settings\Temp (dossier caché).
Désactive la restauration système et refait un scan.
Quel est le nom du virus ? l'extension du fichier infecté ? Tu as vérifié qu'il ne tournait pas en tâche de fond ? (CTRL+ALT+SUPPR) ? Quel est le message de sécuritoo disant qu'il ne peut pas supprimer ce virus ?
Dinon, ton log hijackthis montre que t'es à fond amoureux de MyWebSearch
A supprimer :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.esubqoudtsjdp.net/3PUDMPyjDyAyr9WzYpKAYhIEn7KbZ/4Zmpb_LUR1oN2lBw7j1hg VmmR2V7KEN43l.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qmkcshzwoddcrdikcnefcxit.com/3PUDMPyjDyAJ1PWJECltu4eiUpB_SkytoyIiXd6q 564.html
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing) (si tu connais pas ou que tu juge inutile)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe (si tu connais pas)
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
Pense à supprimer ces lignes en mode sans echec , et seulement après avoir vider les deux dossiers temporaires indiqués précédemment.
Mais avant de faire ceci, pense bien à faire un scan antispyware avec ad-aware ainsi que spybot (mis à jour) et en mode sans echec. Vérifie également que mywebsearch n'est pas désinstallable dans ajout/suppression de programme.
Si tu suis ces étapes ca devrait dejà mieux aller.
Et pour plus d'indications pour supprimer ce méchant spyware, c'est ici (tu noteras au passage sa popularité ) _________________ |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 17 Jan 2006 à 13:34 Sujet du message: |
|
|
il me semble que je lui avait désinstaller déjà une fois mywebsearch mais il a du reinstallé ou sa soeur vu que c'est le pc familial (et ils sont tous bon à rien sur un pc sauf sur word bien que je ne sois pas un expert sur pc non plus ) ok ba je passerais tout à l'heure chez lui et je le ferais je te dirais ce soir si sa a marché |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 17 Jan 2006 à 19:51 Sujet du message: |
|
|
Bonjour,
En plus des lignes données plus haut fixe aussi ca
O4 - HKLM\..\Run: [soft grey poll rdr] C:\Documents and Settings\All Users\Application Data\deadsizesoftgrey\jugselse.exe
et ca je confirme aussi c'est a virer
O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe
et supprime ce dossier
C:\Program Files\MyWebSearch
apres quoi nettoyage en vidant
corbeille
dossiers temporaires
fichiers internet temporaires
en utilisant Ccleaner ou clearprog par exemple ca simplifiera les choses. |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 17 Jan 2006 à 20:02 Sujet du message: |
|
|
ok merci je lui ai deja installé regcleaner et ad aware et je lui ai dit de supprimer mysearchweb. Demain je lui fixerais les lignes |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 25 Jan 2006 à 21:30 Sujet du message: |
|
|
alors voila j'ai passé spybot et ad aware à jour et en mode sans échec spybot a trouvé mywebsearch et l'a supprimé donc je poste un nouveau log
[ *** scan hijackthis supprimé par Laurent *** ] |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 25 Jan 2006 à 21:38 Sujet du message: |
|
|
donc reste ces lignes à fixer en mode sans echec
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tqlsaoqcypnfokggtmiij.com/hHooUkmYpjhsLSHNgJrXul6bAyvLZ0B1eirXCAT9150 QBteu1HxUeqMiIl3equeu.jpg
O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing)
pour le reste c'est ok
une chose a controler apres redemarrage c'est la ligne R1. Si elle ne réapparait pas c'est OK sinon il faudra utiliser une méthode un peu plus invasive |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 25 Jan 2006 à 22:04 Sujet du message: |
|
|
c'est bon la ligne ne réaparait pas
merci à tous, l'ordi de mon pote ne plante plus grace à vous! vous en avez réparé un paquet de pc depuis ue je viens sur le site!! merci encore |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 25 Jan 2006 à 22:11 Sujet du message: |
|
|
j'ai oublié une petite question:
quand on a une session administrateur sur xp on peut rentrer sur une session limité sans avoir besoin du code?? |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 25 Jan 2006 à 22:38 Sujet du message: |
|
|
Pas certain cependant l'administrateur peut changer le code de l'utilisateur sans en connaitre l'ancien ce qui dans la pratique reviend au même |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 25 Jan 2006 à 22:39 Sujet du message: |
|
|
et comment on fait pour faire ce petit changement??(si tu veux pas le dire sur le forum un petit message privé) |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 25 Jan 2006 à 22:53 Sujet du message: |
|
|
cela doit pouvoir se faire directement du panneaux de configuration et gestion des utilisateurs |
|
Revenir en haut de page |
|
|
madje
Inscrit le: 06 Nov 2005 Messages: 1349 Localisation: clermont ferrand
|
Posté le: 25 Jan 2006 à 23:00 Sujet du message: |
|
|
ok merci j'essaye sa demain et je te dis |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|