Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Reader_s

stephbleu

Par stephbleu
dans Analyses et éradication malwares

 Partager

Messages recommandés

stephbleu Junior Member

stephbleu

Posté(e)
Posté(e)

Bonjour,

 

ça fait 4 jours que j'ai chopé un virus...

...bêtement en cherchant une clé pour un jeu sur mon iphone.

Je le télécharge ici : lien illégaux et infectés, merci de ne pas les poster pour ne pas infecter les autres hein...

 

et depuis rien ne va.

J'ai essayé avec combofix, ad aware, ...

Rien ne marche aidez moi please :P

 

Voici le rapport Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:12:02, on 18/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\reader_s.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,C:\Documents and Settings\Propriétaire\wtprot.exe \s

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Propriétaire\reader_s.exe

O4 - HKLM\..\Policies\Explorer\Run: [services] -->

 

O4 - HKUS\S-1-5-18\..\Run: [services] -->

(User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Propriétaire\reader_s.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [vxsyvrcz.exe] C:\WINDOWS\vxsyvrcz.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] -->

(User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [services] -->

(User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] -->

(User 'Default user')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1126102862593

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1168735953171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/Facebo...Uploader4_5.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

 

--

End of file - 8615 bytes

 

Merci

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Edite ton post et supprime le lien stp!

 

Tu es infecté par Virut; j'espère pour toi que ce n'est pas le dernier né sinon il y a du formatage dans l'air.

 

Tu vas devoir régler les options d'alimentation du pc via le panneau de configuration et régler sur "Jamais" partout/appliquer/ok. Le pc ne doit pas se mettre en veille!

 

On va procéder à un nettoyage avant de lancer cette très longue analyse: une fois lancée tu pourras aller faire dodo pendant que l'outil travaille.

 

A la fin de l'analyse tu devras choisir disinfect car les fichiers infectés par Virut ne peuvent pas être liquidés car ce sont les exécutables du pc!

 

Télécharger ATF Cleaner par Atribune.

  • Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
     
    Double-clique ATF-Cleaner.exe afin de lancer le programme.
    --> Sous Vista: Clic droit/exécuter en temps qu'administrateur.
    Toujours sous VISTA: décocher la case Prefetch. (normalement grisée)
    Sous l'onglet Main, choisis : Select All
    Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/

 

SCANNER AVEC AVP TOOL

 

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

  • Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image:
    logotopjj3.gif
     
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
  • Connecte éventuellement tes clés USB et disques externes.
     
     
  • Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
  • Réponds "Oui" à la question "Do you want to continue installation?"
  • Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
  • Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
  • L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
  • Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
    niveau.jpg
     
  • Valide avec "Apply" puis "OK"
  • L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  • A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect"
     
    kas2rd1.png
  • Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
  • Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
  • Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
  • Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
    uninsavp.jpg
  • Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
    restart.jpg
    A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en Mode normal.
  • Poste le contenu du rapport dans ta prochaine réponse

 

 

*** Le rapport étant très lourd, je te demanderais de bien vouloir l'héberger ici: http://www.senduit.com/ choisis de le laisser disponible 4 ou 5 jours afin que l'on puisse le consulter, mes amis et moi.

Récupère le lien et transmets-le dans ta réponse stp.

 

Voilà, bonne chance :P

 

@++

Modifié par Apollo
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Salut,

 

Mouairf, non faut jamais mettre de liens pareils!

Trop dangereux et puis t'en fais pas: nous savons d'où viennent les Bagle ou Virut...

 

Il va falloir de la patience en fonction de la puissance du pc, mais d'un autre côté tu l'as un peu cherché :P

 

@++

 

PS, n'oublie surtout pas de brancher tes supports amovibles sinon cela sera la réinfection immédiate. (Si ce n'est pas le Virut auquel je pense...)

Modifié par Apollo
stephbleu Junior Member

stephbleu

Posté(e)
  • Auteur
Posté(e) (modifié)

Bas ça fait 2 heures de scan... 30 %

 

:P

mais j'ai mis security level à hight

j'ai l'impression que tout les .exe du pc sont infectés !!

mais j'ai une clé usb... je ne l'ai pas mis aie aie aie

faut que je recommence tout pour ma clé ?

 

Une question : je peux récupérer mes documents images vidéos et traitement de texte pour bosser dessus sur un autre pc sans infecter celui-ci ?

 

Au fait remerci pour ton aide.

 

Petite précision : Est-ce que mes mots de passe enregistrés sur firefox ont pu être transmis au "propriétaire" du virus ?

Modifié par stephbleu
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

Tu dois recommencer.

 

1. Parce que tous les supports amovibles sont sûrement infectés.

2. Tu ne dois pas changer le niveau mais le laisser sur Recommandé (Medium)

 

Le Hight va détecter des faux-positifs et t'as vraiment pas besoin de ça crois moi.

 

Tu ne dois sauvegarder aucun exe, rar contenant des exe, src, cracks ou tout fichier téléchargé sur les P2P.

Ne sauvegarde même pas des fichiers htm.

 

Des txt, doc ou photos/ images: ok

 

Oui la plupart des exe sont infectés car Virut est un virus fait uniquement pour détruire et même pas pour se faire du pognon.

 

Rien que le plaisir de détruire chez les créateurs de cette vermine; et ils savent où taper: dans les cracks piégés ou les P2P '(emule etc.)

 

Là ils sont sûrs de tomber chaque fois sur des gens ignorant les infos de sécurité qu'on leur prodigue, comme celles-ci par exemple:

 

efafa0cd58fcc0b559a37b26a37b.jpegPEER-TO-PEER efafa0cd58fcc0b559a37b26a37b.jpeg

 

Je note que tu disposes d'un logiciel de peer-to-peer.

 

Jette un oeil à la petite synthèse sur les dangers sécuritaires du peer-to-peer en cliquant sur cette bannière:

 

img-103332veltm.jpg

 

J'espère que tu changeras d'avis à propos du téléchargement peer-to-peer: va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes...

 

Article créé par oGu, conseiller en sécurité

 

Si on se fiche de ça, ben on tombe un jour ou l'autre sur Virut ou Bagle... et les cracks piégés sont toujours plus nombreux!

 

 

Pour tes mots de passe, il faur)dra peut-être les changer mais je ne pense pas qu'ils soient transmis; Virut est fait pour démolir, pas pour espionner.

 

++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Re,

 

Tu es quand-même gonflé toi d'aller insérer une clé infectée par Virut sur un autre pc! :P

 

Tu vas sûrement devoir le nettoyer entièrement maintenant.

 

En tout cas, ta clé est désinfectée, c'est déjà une bonne indication car tu vas peut-être pouvoir sauver ton pc et ses exécutables.

 

AVP Tool est vraiment le meilleur pour nettoyer cette peste.

Un autre antivirus balayerait tout sur son passage: virus et....exécutables; autant dire formater...

 

 

Bon l'entête on peut poster, c'est le principal:

 

Scan

----

Scanned: 44889

Detected: 19

Untreated: 0

Start time: 18/02/2009 14:54:05

Duration: 00:27:02

Finish time: 18/02/2009 15:21:07

 

 

Detected

--------

Status Object

------ ------

deleted: virus Worm.Win32.AutoRun.sjl File: J:\autorun.inf

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\Asuite\LKrun.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\HWMonitor\App\HWMonitor\HWMonitor.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\Etoolz\App\eToolz\eToolz.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\CleanAfterMe\App\CleanAfterMe\CleanAfterMe.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\IP2\App\IP2\Ip2.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\NetworkMonitor\App\NetworkMonitor\netmon.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\Pcwizard\App\PCWizard\PC Wizard.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\PENetworkConfigurator\App\PENetworkConfigurator\PENetCfg.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\ServiWin\App\ServiWin\serviwin.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\SmartSniff\App\SmartSniff\smsniff.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\SystemExplorer\App\SystemExplorer\SystemExplorer.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\XPConfig\App\XPConfig\XpConfig.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\Yale\App\Yale\Yale.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\Apps\StartupControlPanel\App\StartupControlPanel\Startup.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\LiberKeyTools\LKsplash.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\LiberKeyTools\LKVerCheck.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\LiberKeyTools\LiberKeyPortabilizer\LiberKeyPortabilizer.exe

disinfected: virus Virus.Win32.Virut.ce File: J:\LiberKey\LiberKeyTools\LKAppsVCheck\lkAppsVCheck.exe

 

 

@+++

Modifié par Apollo
stephbleu Junior Member

stephbleu

Posté(e)
  • Auteur
Posté(e) (modifié)

Enfin terminé !!

 

 

enfin, j'espère !!

Le scan a duré plus de 12h et le rapport fait 250 Mo.

 

Je te met le rapport Hijackthis :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:16:06, on 19/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,C:\Documents and Settings\Propriétaire\wtprot.exe \s

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe

O4 - HKLM\..\Policies\Explorer\Run: [services] -->

 

O4 - HKUS\S-1-5-18\..\Run: [services] -->

(User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] -->

(User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [services] -->

(User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] -->

(User 'Default user')

O4 - S-1-5-18 Startup: is-J7LQP.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: is-J7LQP.lnk = ? (User 'Default user')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O4 - Startup: is-J7LQP.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1126102862593

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1168735953171

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/Facebo...Uploader4_5.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

 

--

End of file - 8625 bytes

 

Encore merci :P

 

Au fait j'avais pas d'antivirus et juste le firewall windows...

...maintenant j'ai mis Zonealarm et de se pas je m'installe antivir, me conseilles tu autre chose ?

 

REre merci !

 

 

Oup's : Question au passage l'erreur interne en fin de mise à jour d'antivir est normale ?

Modifié par stephbleu
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Si tu as des problèmes avec les mises à jour Antivir, tu peux les faire manuellement:

Mises à jour manuelles d'Antivir

 

- Peux-tu me poster l'entête du rapport d'AVP Tool stp? Juste où il est indiqué les actions entreprises.

 

Sur les réactions à régler dans Antivir, tu as deux possibilités .

1ère intention:mets sur Réparer

2e " " : Ignorer --> ceci en attendant d'être sûrs et certains que Virut a été nettoyé. (après tu pourras mettre quarantaine).

 

Avant de lancer une analyse antivirus, tu vas faire ceci, car il y a une autre sorte d'infection. (un reste).

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si le lien ne fonctionne pas, télécharger ICI

 

 

Ce logiciel est à garder, il rendra encore de grands services!

 

En cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

Mises à jour + récentes pour MBAM

 

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...