Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2195 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Le toxBot a encore frappé

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Le toxBot a encore frappé

n°2105683
warzazath
Posté le 25-07-2005 à 18:59:14  profilanswer
 

Bonjour,
 
Comme j'ai pu le constater je ne suis pas le seul a avoir été infecté par ToxBot.
Comme tous ceux qui ont eu le problème j'ai téléchargé HijackThis et je l'ai lancé en mode sans échec.
Voir ci-dessous le résultat, si qqun pouvait me dire ce que je dois faire ce serait sympa, merci d'avance.
 
Logfile of HijackThis v1.99.1
Scan saved at 18:39:59, on 25/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Sandra\Mes documents\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Registry Checkup System8 Monitor] Winregs8.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Registry Checkup System8 Monitor] Winregs8.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

mood
Publicité
Posté le 25-07-2005 à 18:59:14  profilanswer
 

n°2105689
Troll_Neut​re
Posté le 25-07-2005 à 19:02:24  profilanswer
 

Ceci sent le virus :
 
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe  
 
Et ceci est à vérifier :
 
O4 - HKLM\..\RunServices: [Registry Checkup System8 Monitor] Winregs8.exe

n°2105702
stonangel
Posté le 25-07-2005 à 19:10:15  profilanswer
 

Bonjour je regarde ton rapport, réponse dans quelques instants

n°2105710
stonangel
Posté le 25-07-2005 à 19:17:56  profilanswer
 

Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne  

MAPI Mail Client (MAPI)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\System32\mapi32.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
 
O4 - HKLM\..\Run: [Registry Checkup System8 Monitor] Winregs8.exe
 
O4 - HKLM\..\RunServices: [Registry Checkup System8 Monitor] Winregs8.exe
 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
 
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
Winregs8.exe< utilise la fonction rechercher localisation probable System32
C:\WINDOWS\System32\mapi32.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
 

n°2105726
warzazath
Posté le 25-07-2005 à 19:27:43  profilanswer
 

Merci StoneAngel, je fais de suite la manip et je poste le résultat.

n°2105753
warzazath
Posté le 25-07-2005 à 19:46:04  profilanswer
 

En fait, depuis que j'ai désactivé MAPI Client dans les services, quand je fais un scan only avec Hijack je n'ai plus la ligne O23 avec le fichier mapi32.exe, je ne peux donc pas la cocher.
Que dois faire ?

n°2105760
Troll_Neut​re
Posté le 25-07-2005 à 19:50:45  profilanswer
 

Ah, enfin quelqu'un qui utilise Ccleaner !

n°2105763
warzazath
Posté le 25-07-2005 à 19:54:55  profilanswer
 

Ben en fait je l'ai même pas lancé...

n°2105766
Troll_Neut​re
Posté le 25-07-2005 à 20:00:15  profilanswer
 

Ca fait le tri de tous les fichiers inutiles.
Et plus récemment les entrées registres inutiles.
Très bon Freeware, mis à jour tous les mois ou moins !

n°2105842
warzazath
Posté le 25-07-2005 à 21:08:05  profilanswer
 

J'ai tout de même pas réglé mon problème en désactivant le service MAPI Client si ?

mood
Publicité
Posté le 25-07-2005 à 21:08:05  profilanswer
 

n°2105911
warzazath
Posté le 25-07-2005 à 22:10:29  profilanswer
 

La ligne O23 avec le fichier mapi32.exe n'était pas présente mais j'ai qd même continuer la manipulation.
Voici le nouveau résultat du scan, est-ce correct ?
 
Logfile of HijackThis v1.99.1
Scan saved at 22:07:11, on 25/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NETGEAR\WG111T Configuration Utility\wlan111t.exe
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Registry Checkup System8 Monitor] Winregs8.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

n°2105914
Troll_Neut​re
Posté le 25-07-2005 à 22:13:27  profilanswer
 

Euh, au fait.
Il fait quoi ce virus toxBot ?

n°2105931
stonangel
Posté le 25-07-2005 à 22:19:46  profilanswer
 

Bonsoir tu as bien supprimé ces fichiers:  
 
Winregs8.exe
C:\WINDOWS\System32\mapi32.exe?
 
Ton log est propre. Qu'en est-il de très problèmes?
 

n°2105960
warzazath
Posté le 25-07-2005 à 22:33:48  profilanswer
 

J'ai pu sélectionner et supprimer le fichier Winreg8.exe, par contre le fichier mapi32.exe n'était pas présent dans la liste donc je ne sais pas s'il est réellement supprimé ou s'il est plutôt désactivé du fait de la manipulation via services.msc
Cependant je n'ai plus de messages d'alerte de Norton et le scan Norton ne détecte plus de virus comme avant.
 
Donc je suppose que c'est bon ou du moins je l'espère.
 

n°2106046
warzazath
Posté le 25-07-2005 à 23:14:45  profilanswer
 

Merci à tous pour cette aide rapide et efficace.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Le toxBot a encore frappé

 

Sujets relatifs
Virus w32.toxbot et trojan non supprimablesvirus w32.Toxbot
rapport HIJACKTHIS pour le virus W32.Toxbotcomment supprimer le virus W32.Toxbot ???
désactivation frappe automatiqueNo
Enregistrement de la frappecherche logiciels qui compte les caracteres de frappe !
Problème de frappe énervantIl y a du monde qui frappe à la porte....
Plus de sujets relatifs à : Le toxBot a encore frappé

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.052 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)