DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 10 Nov 2024 à 9:10 FAQ | Rechercher | Membres | Groupes

[Résolu] Virus qui veut pas être supprimé!!


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 17 Jan 2006 à 12:21    Sujet du message: [Résolu] Virus qui veut pas être supprimé!! Répondre en citant

salut à tous,
alors voici un log d'un ami, son antivirus (sécuritoo de wanadoo) détecte 1 virus et il dit qu'il ne peut pas être supprimé mais seulement renomé donc je vous poste ce log



[ *** scan hijackthis supprimé par Laurent *** ]
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 17 Jan 2006 à 12:25    Sujet du message: Répondre en citant

Et ton amis n'a pas d'antivirus ? C'et toujours plus propre de supprimer un virus avec un antivirus que de supprimer seulement l'entrée dans la base de registre !

Installe Avast! ou bitdefender 8 free edition, met à jour et fait un scan en mode sans echec Smile


Si tu tient seulement à supprimer la clé par hijackthis, essaye aussi en mode sans echec.

Si il revient encore, désactive la restauration système (tappe "restauration" dans rechercher sur depannetonpc tu trouveras un article).

Et refait l'opération précédente Smile.

Pense à vider les dossier temporaires comme C:\WINDOWS\TEMP .
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 17 Jan 2006 à 13:03    Sujet du message: Répondre en citant

si il a un antivirus je l'ai marqué en haut c'est securitoo de wanadoo mais en mode sans échec l'antivirus veut pas se lancer.
Dans c:/windows/temp je dois supprimer tout les dossier qu'il y a dedans ou je dois ouvrir chaque dossier et le vider? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 17 Jan 2006 à 13:28    Sujet du message: Répondre en citant

Ah ok désolé j'ai lu trop vite.

tu vide completement le dossier temp.

vide aussi C:\Documents and Settings\[nom d'utilisateur]\Local Settings\Temp (dossier caché).

Désactive la restauration système et refait un scan.

Quel est le nom du virus ? l'extension du fichier infecté ? Tu as vérifié qu'il ne tournait pas en tâche de fond ? (CTRL+ALT+SUPPR) ? Quel est le message de sécuritoo disant qu'il ne peut pas supprimer ce virus ?

Dinon, ton log hijackthis montre que t'es à fond amoureux de MyWebSearch Very Happy

A supprimer :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.esubqoudtsjdp.net/3PUDMPyjDyAyr9WzYpKAYhIEn7KbZ/4Zmpb_LUR1oN2lBw7j1hg VmmR2V7KEN43l.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qmkcshzwoddcrdikcnefcxit.com/3PUDMPyjDyAJ1PWJECltu4eiUpB_SkytoyIiXd6q 564.html

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing) (si tu connais pas ou que tu juge inutile)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe (si tu connais pas)

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN


Pense à supprimer ces lignes en mode sans echec , et seulement après avoir vider les deux dossiers temporaires indiqués précédemment.

Mais avant de faire ceci, pense bien à faire un scan antispyware avec ad-aware ainsi que spybot (mis à jour) et en mode sans echec. Vérifie également que mywebsearch n'est pas désinstallable dans ajout/suppression de programme.

Si tu suis ces étapes ca devrait dejà mieux aller.

Et pour plus d'indications pour supprimer ce méchant spyware, c'est ici (tu noteras au passage sa popularité Wink )
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 17 Jan 2006 à 13:34    Sujet du message: Répondre en citant

il me semble que je lui avait désinstaller déjà une fois mywebsearch mais il a du reinstallé ou sa soeur vu que c'est le pc familial (et ils sont tous bon à rien sur un pc sauf sur word Laughing bien que je ne sois pas un expert sur pc non plus Rolling Eyes ) ok ba je passerais tout à l'heure chez lui et je le ferais je te dirais ce soir si sa a marché Smile  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 17 Jan 2006 à 19:51    Sujet du message: Répondre en citant

Bonjour,

En plus des lignes données plus haut fixe aussi ca

O4 - HKLM\..\Run: [soft grey poll rdr] C:\Documents and Settings\All Users\Application Data\deadsizesoftgrey\jugselse.exe

et ca je confirme aussi c'est a virer

O4 - HKCU\..\Run: [Glue tray] C:\DOCUME~1\Tit'Yvan\APPLIC~1\DRAWHI~1\heart skip.exe

et supprime ce dossier

C:\Program Files\MyWebSearch

apres quoi nettoyage en vidant
corbeille
dossiers temporaires
fichiers internet temporaires

en utilisant Ccleaner ou clearprog par exemple ca simplifiera les choses. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 17 Jan 2006 à 20:02    Sujet du message: Répondre en citant

ok merci je lui ai deja installé regcleaner et ad aware et je lui ai dit de supprimer mysearchweb. Demain je lui fixerais les lignes  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 25 Jan 2006 à 21:30    Sujet du message: Répondre en citant

alors voila j'ai passé spybot et ad aware à jour et en mode sans échec spybot a trouvé mywebsearch et l'a supprimé donc je poste un nouveau log



[ *** scan hijackthis supprimé par Laurent *** ]
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 25 Jan 2006 à 21:38    Sujet du message: Répondre en citant

donc reste ces lignes à fixer en mode sans echec

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tqlsaoqcypnfokggtmiij.com/hHooUkmYpjhsLSHNgJrXul6bAyvLZ0B1eirXCAT9150 QBteu1HxUeqMiIl3equeu.jpg
O2 - BHO: (no name) - {53E46294-B352-40C9-FC18-A926B41B442D} - C:\DOCUME~1\Tit'Yvan\APPLIC~1\GPLAIM~1\joymess.exe (file missing)

pour le reste c'est ok
une chose a controler apres redemarrage c'est la ligne R1. Si elle ne réapparait pas c'est OK sinon il faudra utiliser une méthode un peu plus invasive 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 25 Jan 2006 à 22:04    Sujet du message: Répondre en citant

c'est bon la ligne ne réaparait pas
merci à tous, l'ordi de mon pote ne plante plus grace à vous! vous en avez réparé un paquet de pc depuis ue je viens sur le site!! merci encore Smile Wink 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 25 Jan 2006 à 22:11    Sujet du message: Répondre en citant

j'ai oublié une petite question:
quand on a une session administrateur sur xp on peut rentrer sur une session limité sans avoir besoin du code?? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 25 Jan 2006 à 22:38    Sujet du message: Répondre en citant

Pas certain cependant l'administrateur peut changer le code de l'utilisateur sans en connaitre l'ancien ce qui dans la pratique reviend au même  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 25 Jan 2006 à 22:39    Sujet du message: Répondre en citant

et comment on fait pour faire ce petit changement??(si tu veux pas le dire sur le forum un petit message privé)  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 25 Jan 2006 à 22:53    Sujet du message: Répondre en citant

cela doit pouvoir se faire directement du panneaux de configuration et gestion des utilisateurs  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
madje



Inscrit le: 06 Nov 2005
Messages: 1349
Localisation: clermont ferrand

MessagePosté le: 25 Jan 2006 à 23:00    Sujet du message: Répondre en citant

ok merci j'essaye sa demain et je te dis  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum