Problème "virtual maid"

Bonemine · Posté le: 05 Mar 2005 16:59 Sujet du message:

Pour désactiver la restauration système:
Dans Panneau de configuration/Système/onglet Restauration du système, cocher Désactiver la restauration du système sur tous les lecteurs.
@+

Sév · Posté le: 05 Mar 2005 17:04 Sujet du message:

Pour désactiver la restauration si l'icône Poste de Travail n'est pas sur ton bureau :

Démarrer

Panneau de configuration

Système

Onglet Restauration du système

Coche la case "Désactiver"

Fais les scans ad-aware et spybot comme indiqué

Je regarde ton log

@+

Alain_C · Journaliste Inscrit le: 10 Sep 2004 Messages: 3856

Bonjour à vous toutes,
Merci d'avoir pris la relève Clin d'oeil

Juste un petit mot comme cela en passant.
Loreleï signale Microsoft Antispyware dans un de ses posts et il peut être une très bonne solution car depuis que M$ l'a sorti, je l'utilise et il me trouve régulièrement de vilaines bêtes que d'autres ne me trouve pas.
À la prochaine

PS : je regrette que ma solution n'ait pas fonctionnée mais peut-être que le virtuel machin touche à des programmes vitaux pour ton pc.
Désolé
_________________

Sév · Posté le: 06 Mar 2005 2:06 Sujet du message:

Bonsoir,

Avant toute chose, as-tu fais les scan avec les outils qu'on t'a indiqué ? et qu'est-ce que ça a donné ?
Tes mises à jours Windows commencent à dater sérieusement, ça peut expliquer en partie les contaminations multiples.
Je croyais que tu étais sous XP, pas étonnant que tu ne trouves pas la restauration du système dans ce cas.

Pour désactiver la restauration du système fais : démarrer/programmes/accessoires/outils systèmes/assure toi que la case est décochée

Ensuite fais Démarrer/exécuter et tape : msconfig > onglet Démarrage et décoche les lignes suivantes:
PCHealth et StateMgr.
Puis termine en cliquant sur OK.
A la question "Voulez-vous redémarrer maintenant?" -> NON
Dans le panneau de configuration / Système choisis l'onglet Avancé et clic sur le bouton (en bas): Système de fichiers.
Dans la liste qui s'affiche, coche la case "Désactiver l'option de restauration du système" et OK. (ouf c'est quand même + simple sous XP).

Je ne connais pas la version de Windows Me et ses particularités, mais tentons quand même la procédurede désinfection.

Assure toi que les fichiers cachés sont visibles, je pense que ça ne devrait pas poser de problème

Redémarre ton pc en mode sans échec (F8 à l'amorçage)

Fais ctrl + alt + supr

Gestionnaire des tâches

Arrête les processus suivants si encore présents

MSTASK.EXE
MSMSGS.EXE
RUNDLL32.EXE
MSNAPPAU.EXE (surtout celui là)
QTTASK.EXE
MSNMSGR.EXE
HPOTDD01.EXE

Exécute Hijackthis de la même manière que précédemment

Coche les cases correspondant aux lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\PROGRAM FILES\IMESH\IMESH5\IMESHBHO.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [AME_CSA] rundll32 CSA.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVPCC] C:\Program Files\AntiViral Toolkit Pro\avpcc.exe /wait
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm
O9 - Extra button: Microsoft AntiSpyware helper - {FF405AAF-E7F2-4CAF-9299-AD998A060B0B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {FF405AAF-E7F2-4CAF-9299-AD998A060B0B} - (no file) (HKCU)

Re-scan avec Spybot, Ad-aware et Microsoft Anti-Spyware.

Vide la corbeille

Redémarres

Refais un log hijackthis et poste le

Qu'est-ce que ça donne ?

@+

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

Tout d'abord merci à toutes et à tous de continuer à m'aider!

Concrètement, j'ai essayé TOUTES vos démarches: registre, Spybot, Ad-Aware, pas Microsoft AntiSpyware car je n'ai pas su l'installer??, mode sans échec, Hijackthis,... RIEN n'y fait, ma page de démarrage reste toujours VIRTUAL-MAID! Pas content

Comme demandé, voici le log de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:13:54, on 6/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\POPUPER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL

En espérant enfin trouver une SOLUTION à ce satané malware, d'avance merci pour vos précieux conseils Accord

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

Tout d'abord merci à toutes et à tous de continuer à m'aider!

Concrètement, j'ai essayé TOUTES vos démarches: registre, Spybot, Ad-Aware, pas Microsoft AntiSpyware car je n'ai pas su l'installer??, mode sans échec, Hijackthis,... RIEN n'y fait, ma page de démarrage reste toujours VIRTUAL-MAID! Pas content

Comme demandé, voici le log de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:13:54, on 6/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\POPUPER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL

En espérant enfin trouver une SOLUTION à ce satané malware, d'avance merci pour vos précieux conseils Accord

PS: Pensez-vous que recommencer l'opération avec l'éditeur de registre (sans cette fois oublier de désactiver la restauration système!) serait une bonne idée?

Si oui, comment faire une sauvegarde préalable du registre sur le bureau?

Bonemine · Posté le: 06 Mar 2005 13:29 Sujet du message:

Bonjour

Ton log est incomplet et inexploitable. Peux tu en retirer un autre?

Pour la modif de la base de registre, c'est une opération risquée. Une fausse manip et ton windows ne démarre plus. Il vaut mieux exploiter les solutions plus douces d'abord. Clin d'oeil

@+

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

C'est ce que je veux faire mais une fausse manip dans ajout/suppression de programmes m'a fait supprimer Hijack et maintenant qd je veux le retélécharger, j'ai l'icône d'installation sur le bureau qui est sur le bureau mais je dois l'OUVRIR AVEC? Bref je n'y arrive pas!

Je rame un peu mais merci de m'aider!

Sév · Posté le: 06 Mar 2005 14:12 Sujet du message:

Bonjour,

Tout à fait d'accord avec ce qu'a dit Bonemine.

Et j'ajouterai qu'il va falloir t'armer de patience, car Virtual Maid est très collant, mais on peut en venir à bout.

Qu'as-tu voulu faire en passent par Ajout/Suppression... ?

Hijackthis est un fichier exécutable et ne "s'installe pas" à proprement parlé.

Si tu as gardé le dernier téléchargement de HJT, copie le .exe et remplace le précédent...

@+

Bonemine · Posté le: 06 Mar 2005 14:18 Sujet du message:

Le programme téléchargé doit être dézippé d'abord. Pour ça, utilise un programme capable de traiter les fichiers zip (winzip ou winrar ou ...).
Par contre, il est important que HijacThis.exe ne soit pas sur le bureau. Il faut que tu le mettes dans un répertoire qui lui est propre (que tu crées où tu veux) dans C:/Program Files par exemple.

@+

Sév · Posté le: 06 Mar 2005 14:29 Sujet du message:

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

Désolé mais là je suis complètement paumé!

Confus

La première fois que j'ai téléchargé Hijack, tout s'était bien passé en quelques secondes mais maintenant, IMPOSSIBLE, je ne sais plus quoi/comment faire!

La première étape: enregistrer ce fichier... fonctionne mais après c'est invariablement: ouvrir avec et ça ne marche pas!

Que faire?

Merci...

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

Après quelques essais:

voici le dernier logfile de hijack:

Logfile of HijackThis v1.99.1
Scan saved at 15:57:54, on 6/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\POPUPER.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

Sév · Posté le: 06 Mar 2005 18:27 Sujet du message:

kev · Nouveau Inscrit le: 03 Mar 2005 Messages: 14

J'ai finalement réussi à réouvrir Hijack et mon dernier post avant celui-ci reprend le dernier logfile de Hijack This.

J'attends donc vos conseils à partir de ce logfile!

	Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis	Toutes les heures sont au format GMT Aller à la page Précédente 1, 2, 3 Suivante
Page 2 sur 3