Nouveau virus (urlmsssc.exe) bloque l'ouverture du pare feu et des antivirus
Forum Sécurité - Virus : Nouveau virus (urlmsssc.exe) bloque l'ouverture du pare feu et des antivirus
J'ai découvert une application dans le gestionnaire de tache : urlmsssc.exe
Ce nom de fichier apparait aussi dans HiJackThis.
J'ai découvert deux fichiers dans "windows:system32" :
- urlmsssc.exe
- urlmsccc.ocx
Comme par hazard, depuis que j'ai ce fichier, je ne peux plus ouvrir le Pare feu de Windows ! ainsi que des tas de logiciels anti spyware : ad-aware, spybot...
J'ai remarqué que j'arrive à les ouvrir en renommant simplement ces logiciels ! par exemple "log" à la place de "ad-aware"...
Mais impossible de renommer le Pare Feu de Windows (Panneau de configuration)...
J'ai essayé de redémarrer en mode sans échec pour effacer la bestiole. J'ai réussit qu'une seule fois,et la bestiole est revenue. impossible de le refaire... bizarre.
Premiere question : quelqu'un connait il ce virus ?
Deuxieme question : comment ouvrir le pare feu, en mode sans échec, qd le menu démarrer n'apparait plus ?
Bonjour
Je ne trouve rien sur ce processus. En général, cela veut dire qu'il est infectieux.
Poste ton rapport HijackThis.
Voici le log de HiJackThis
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Evidence Destructor\erasrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Archives\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe,urlmsssc.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\urlmsssc.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D19A72F-8AD2-4374-AD70-9B0D538B0720} - C:\WINDOWS\system32\oyqblelx.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\bin32.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [00ERSRRRNKY] C:\Program Files\Evidence Destructor\eraser.exe
O4 - HKLM\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe
O4 - HKLM\..\RunOnce: [00ERSRRRNKY] "C:\Program Files\Evidence Destructor\erasrv.exe" remove
O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe
O4 - Startup: Raccourci vers speedfan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O20 - Winlogon Notify: bin32 - C:\WINDOWS\SYSTEM32\bin32.dll
O21 - SSODL: Themes Component - {4088B1C1-DEF4-466F-82ED-91E2075FE7B8} - C:\WINDOWS\system32\nvwiarp.dll
O23 - Service: Eraser Service (EraserThread) - Unknown owner - C:\Program Files\Evidence Destructor\erasrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Je remarque une chose :
j'ai une seule fenetre IE ouverte, et on en trouve une dizaine dans HiJackThis.
j'ai oublié de dire que ce virus désactive, ou modifie l'affichage des processus dans le Gestionnaire de taches
A mon avis, il s'agit simplement d'un spyware assez intelligent pour se protéger des anti-spywares. lol.
Salut,
C'est pas un spyware... ;-)
1) Désinstalle Evidence Destructor dans Ajout/Suppression de programmes.
2) Relance HijackTHis, coche ces lignes et appuie sur Fix Checked :
| Citation :
|
3) Redémarre en mode sans échec
4) Supprime ces fichiers :
C:\WINDOWS\system32\urlmsssc.exe
C:\WINDOWS\system32\oyqblelx.dll
C:\WINDOWS\system32\bin32.dll
C:\Program Files\Evidence Destructor\ <= ce dossier
C:\WINDOWS\supervisor.exe
C:\WINDOWS\system32\nvwiarp.dll
5) Redémarre normalement
As tu encore des soucis ??
merci d'avoir répondu si vite ! je vais tester....
au fait, si c'est pas un virus ou trojan, c'est quoi ? une incompatibilité entre deux logiciels ?
Il y a 2163 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
