[OK] WindowsRegKey upd4te2d4te: wfmwhxfpr.exe => ver RBOT

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] WindowsRegKey upd4te2d4te: wfmwhxfpr.exe => ver RBOT

Messagede AntonioZ » 25 Nov 2004, 19:11

Bonjour !!!

voilà je soumets mon log à votre analyse :
un programme, notamment quand je fais ctrl+alt+supp, tourne 15 fois !!! :shock:
je l'ai mis en rouge. Qu'est ce que c'est et qu'est ce que je peux faire ?
dites moi aussi si vous trouvez des trucs qui clochent !
merci de votre aide !

Logfile of HijackThis v1.98.2
Scan saved at 18:59:04, on 25/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Browser MOUSE\mouse32a.exe
C:\PROGRA~1\PROTEC~1\ZONEAL~1\zapro.exe
E:\PROGRA~1\ANTI-V~1\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\protection\MRU-Blaster\scheduler.exe
E:\PROGRA~1\ANTI-V~1\AVG6\avgserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\protection\proxomitron\Proxomitron.exe
F:\téléchargement\eMule\emule.exe
E:\Program Files\Winamp\winamp.exe
C:\Program Files\protection\Spybot - Search & Destroy\SpybotSD.exe
E:\Program Files\Firefox\firefox.exe
C:\Documents and Settings\Antoine\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] wfmwhxfpr.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\PROTEC~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [AVG_CC] E:\PROGRA~1\ANTI-V~1\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] wfmwhxfpr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] wfmwhxfpr.exe
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\protection\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\protection\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{490D6BFD-B75D-48A0-BB7C-34B3652C23C0}: NameServer = 80.118.192.111 80.118.196.36
AntonioZ
 
Messages: 16
Inscription: 02 Aoû 2004, 14:02

Messagede Kethryes » 25 Nov 2004, 19:49

Salut
Qu'est ce que c'est et qu'est ce que je peux faire ?

1) La manip (ou au moins la mini manip) (voir lien dans ma signature)
2) Metre a jour Windows (windowsupdate)

Tu peut deja essayer de fixer ces lignes avec hijackthis (les cocher et cliquer sur fix cheked) mais je crains qu'elles réaparaissent d'elles memes.
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede le gromleux » 25 Nov 2004, 21:18

bonsoir AntonioZ,

d'après cette PAGE,le ver RBOT.XQ se serait installé dans ta machine ; sur cette page, des instructions pour éradiquer cette malveillance te sont données en plusieurs étapes :
>Terminating the Malware Program
>Removing Autostart Entries from the Registry
>Restoring Other Modified Registry Entries
>Additional Windows ME/XP Cleaning Instructions
>Running TREND MICRO Antivirus (pub! :wink: )
>This malware exploits known vulnerabilities on certain platforms. Download and install the critical patches from the following links:
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS04-011

Comprends-tu l'anglais ?
à suivre
@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede pierre » 26 Nov 2004, 00:47

Bonsoir Kethryes
PS : Excusez moi pour les fautes d'orthographe

Je ne l'avais pas remarqué. Tu en as eu assez de te faire charrier ?
Bon, alors, c’est : Excusez-moi…
Mieux : Je vous prie de m’excuser… est plus convenable que d’ordonner que l’on t’excuse.
Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29462
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Kethryes » 26 Nov 2004, 13:54

Salut
Je vais faire le changemant tout de suite ! Bon et puis un petit tiret, on a vu pire :D
(on est un peu HS là non ?)
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede pierre » 26 Nov 2004, 14:20

Re Kethryes,

Le fin du fin serait :

« Je vous prie de bien vouloir m’excuser… »

Là, c'est classieux (Aie à l’Académie !)

Totalement HS ce post !

:Mouaaarrrrffffffff: :Mouaaarrrrffffffff: :Mouaaarrrrffffffff:
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29462
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede AntonioZ » 27 Nov 2004, 02:35

Merci beaucoup !!!

comme disait Kethryes, fixer ces trois lignes n'a pas suffit.

Le Gromleux avait vu juste, il s'agissait du ver RBOT.XQ. Et grâce à ses indications, pfft plus de ver (du moins j'espère! :wink: ) !!!

Encore merci pour votre aide rapide et super efficace !!!
AntonioZ
 
Messages: 16
Inscription: 02 Aoû 2004, 14:02

Messagede Kethryes » 27 Nov 2004, 11:39

C'est cool que ton probleme soit resolu !
Pour terminer le HS, je laisse ma signature comme ça, c'est suffisant (je ne vais pas etre classieux alors que je sais même pas ce que ça veut dire ! Ben oui j'ai pas mon dico à portée de main :wink: )
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités