[Résolu] Virus au démarrage

[jeanmimigab]

hello,

 

Désactive Avast le temps de faire ce scanne online Bitdefender et si tout est OK demain on finalise tout ça

 

ATTENTION:TU DOIS IMPÉRATIVEMENT UTILISER INTERNET EXPLORER ET NON FIREFOX

 

 

pour cela:

 

* En utilisant Internet Explorer, clique sur ce lien Online Scan

 

* Une fois sur la page d'accueil, clique sur "Lancer l'analyse".

 

* Dans la fenêtre qui s'ouvre coche la case "J'accepte les Termes et Conditions" puis clique sur "Démarrer".

 

* Accepte l'installation du contrôle ActiveX proposé et ensuite clique sur "Installer".

 

* Dans la fenêtre qui s'ouvre clique sur "Dossiers à analyser" et coche la case "poste de travail"(pour XP) ou "ordinateur"(pour Vista/Seven).

 

* La mise à jour du programme commence et le scan débute juste après.

 

* A la fin du scanne, clique sur "Plus de détail", et à l'onglet "Problèmes détectés" et choisis "Cliquer ici pour exporter le rapport" et enregistre le sur ton bureau.

 

* Copie le rapport dans ta prochaine réponse stp

 

 

tu as une vidéo de la procédure indiquée ci-dessous sur ce lien

http://www.youtube.com/watch?v=6HWZFYXz9m4

 

@++

[Thot24]

Voici le rapport. S'il a retrouvé des fichiers déjà identifiés par OTL, il en a aussi trouvé un autre.

 

BitDefender Online Scanner

 

 

 

Rapport d'analyse gnr : Wed, Jan 05, 2011 - 00:25:23

 

 

 

 

 

Voie d'analyse: C:\Documents and Settings\Matthieu\Mes documents;C:\Documents and Settings\All Users\Documents;C:\;D:\;E:\;Z:\;

 

 

 

 

 

 

 

Statistiques

 

Temps

00:33:22

 

Fichiers

81315

 

Directoires

11316

 

Secteurs de boot

0

 

Archives

1556

 

Paquets programmes

5309

 

 

 

 

Rsultats

 

Virus identifis

2

 

Fichiers infects

3

 

Fichiers suspects

0

 

Avertissements

0

 

Dsinfects

0

 

Fichiers effacs

2

 

 

 

 

Info sur les moteurs

 

Dfinition virus

6591442

 

Version des moteurs

AVCORE v2.1 Windows/i386 11.0.0.42 (Oct 18 2010)

 

Analyse des plugins

18

 

Archive des plugins

44

 

Unpack des plugins

10

 

E-mail plugins

6

 

Systme plugins

4

 

 

 

 

Paramtres d'analyse

 

Premire action

Désinfecté

 

Seconde Action

Supprimés

 

Heuristique

Oui

 

Acceptez les avertissements

Oui

 

Extensions analyses

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

 

Excludez les extensions

 

 

Analyse d'emails

Oui

 

Analyse des Archives

Oui

 

Analyser paquets programmes

Oui

 

Analyse des fichiers

Oui

 

Analyse de boot

Oui

 

 

 

 

Fichier analys

Statut

 

C:\Program Files\K-Lite Codec Pack\fixdivx.exe=>(7z o)=>fixdivx-1.bin=>(Inno Module 0)

Détecté avec: Gen:Adware.Heur.mq1@Re@qaVbi

 

C:\Program Files\K-Lite Codec Pack\fixdivx.exe=>(7z o)=>fixdivx-1.bin=>(Inno Module 0)

Echec de la désinfection

 

C:\Program Files\K-Lite Codec Pack\fixdivx.exe=>(7z o)=>fixdivx-1.bin=>(Inno Module 0)

Echec de la suppression

 

C:\_OTL\MovedFiles\01032011_224553\C_Documents and Settings\Matthieu\Application Data\xssend2\svcnost.exe

Infecté par: Gen:Trojan.Heur.iK0@IzFnhgpk

 

C:\_OTL\MovedFiles\01032011_224553\C_Documents and Settings\Matthieu\Application Data\xssend2\svcnost.exe

Supprimé

 

C:\_OTL\MovedFiles\01032011_224553\C_Documents and Settings\Matthieu\Application Data\xssendmcvowpujuyomudtyrtn2q3vyacenppk\svcnost.exe

Infecté par: Gen:Trojan.Heur.iK0@IzFnhgpk

 

C:\_OTL\MovedFiles\01032011_224553\C_Documents and Settings\Matthieu\Application Data\xssendmcvowpujuyomudtyrtn2q3vyacenppk\svcnost.exe

Supprimé

[jeanmimigab]

bonsoir,

 

c'est cool,

 

Je pense que cette détection C:\Program Files\K-Lite Codec Pack\fixdivx.exe est un faux positif, mais dans le doute fais cela stp...

 

rend toi sur Virus Total et une fois sur la page d'accueil....

 

1:Clique sur "Parcourir" > dans la fenêtre d'explorateur qui s'ouvre choisie le fichier a analyser et cliques sur "Ouvrir".

 

pour toi,c'est >> C:\Program Files\K-Lite Codec Pack\fixdivx.exe

 

2:Le chemin complet du fichier a analyser doit apparaitre dans la fenêtre

 

3:Cliques sur " Envoyer le fichier (Send file) "

 

ensuite patiente le temps du scan et poste un copier/coller du rapport qui apparait à l'écran

 

 

@++

[Thot24]

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

fixdivx.exe

Submission date:

2011-01-05 22:24:01 (UTC)

Current status:

queued queued analysing finished

Result:

7/ 40 (17.5%)

 

VT Community

 

not reviewed

Safety score: -

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.01.06.00 2011.01.05 -

AntiVir 7.11.1.34 2011.01.05 Adware/Agent.398394

Antiy-AVL 2.0.3.7 2011.01.05 -

Avast 4.8.1351.0 2011.01.05 -

Avast5 5.0.677.0 2011.01.05 Win32:Gator-P

AVG 9.0.0.851 2011.01.05 -

BitDefender 7.2 2011.01.05 Gen:Adware.Heur.mq1@Re@qaVbi

CAT-QuickHeal 11.00 2011.01.05 -

ClamAV 0.96.4.0 2011.01.05 -

Command 5.2.11.5 2011.01.05 -

Comodo 7307 2011.01.05 -

DrWeb 5.0.2.03300 2011.01.05 Adware.Gator

eSafe 7.0.17.0 2011.01.05 -

eTrust-Vet 36.1.8083 2011.01.05 -

F-Prot 4.6.2.117 2011.01.05 -

F-Secure 9.0.16160.0 2011.01.05 Gen:Adware.Heur.mq1@Re@qaVbi

Fortinet 4.2.254.0 2011.01.05 -

GData 21 2011.01.05 Gen:Adware.Heur.mq1@Re@qaVbi

Ikarus T3.1.1.90.0 2011.01.05 Gen.AdWare

Jiangmin 13.0.900 2011.01.05 -

K7AntiVirus 9.75.3448 2011.01.05 -

McAfee 5.400.0.1158 2011.01.05 -

McAfee-GW-Edition 2010.1C 2011.01.05 -

Microsoft 1.6402 2011.01.05 -

NOD32 5763 2011.01.05 -

Norman 6.06.12 2011.01.05 -

nProtect 2011-01-05.01 2011.01.05 -

Panda 10.0.2.7 2011.01.05 -

PCTools 7.0.3.5 2011.01.04 -

Prevx 3.0 2011.01.05 -

Rising 22.81.02.03 2011.01.05 -

Sophos 4.60.0 2011.01.05 -

SUPERAntiSpyware 4.40.0.1006 2011.01.05 -

TheHacker 6.7.0.1.110 2011.01.03 -

TrendMicro 9.120.0.1004 2011.01.05 -

TrendMicro-HouseCall 9.120.0.1004 2011.01.05 -

VBA32 3.12.14.2 2011.01.05 -

VIPRE 7967 2011.01.05 -

ViRobot 2011.1.5.4238 2011.01.05 -

VirusBuster 13.6.130.0 2011.01.05 -

Additional information

Show all

MD5 : 3a3d57d793363d7f094fd4bd0dbea5bf

SHA1 : d215dbf8f4c6406685b10ded12125510d31c3dd2

SHA256: a7b8589ac0d586acec92b4499faeae0c331ac5a4bf6df317e22a6fa188ad1f72

ssdeep: 12288:K+KznnP6n6wLAey6QPHB9Bv7+X+ZYeN/o:iznC6w46c56f

File size : 398394 bytes

First seen: 2008-04-30 20:10:24

Last seen : 2011-01-05 22:24:01

TrID:

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

sigcheck:

publisher....: Igor Pavlov

copyright....: Copyright © 1999-2003 Igor Pavlov

product......: 7-Zip

description..: 7z Self-Extract Setup

original name: 7zS.sfx

internal name: 7zS.sfx

file version.: 3, 11, 0, 0

comments.....:

signers......: -

signing date.: -

verified.....: Unsigned

PEiD: Armadillo v1.71

packers (F-Prot): 7Z

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x116AF

timedatestamp....: 0x3F813F86 (Mon Oct 06 10:10:14 2003)

machinetype......: 0x14c (I386)

 

[[ 4 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x1000, 0x168F6, 0x16A00, 6.51, ff85f099f808852cf5c44ede2446dc84

.rdata, 0x18000, 0x3DC2, 0x3E00, 4.43, 333ff1846a28047b83c5d0336951ed4c

.data, 0x1C000, 0x3ABC, 0x3000, 1.31, 8d7e1b5356c16f197d5406cbe530f212

.rsrc, 0x20000, 0xAC0, 0xC00, 3.40, f19849c95e3fd07683f678a6ac0657b1

 

[[ 4 import(s) ]]

COMCTL32.dll: -

KERNEL32.dll: InitializeCriticalSection, CloseHandle, WaitForMultipleObjects, SetEvent, CreateThread, WaitForSingleObject, ResetEvent, MultiByteToWideChar, WideCharToMultiByte, GetLastError, CompareStringA, CompareStringW, lstrlenA, LoadLibraryA, AreFileApisANSI, GetModuleFileNameA, GetModuleFileNameW, LocalFree, FormatMessageA, FormatMessageW, GetWindowsDirectoryA, SetFileAttributesA, SetFileAttributesW, RemoveDirectoryA, RemoveDirectoryW, CreateDirectoryA, CreateDirectoryW, DeleteFileA, DeleteFileW, GetShortPathNameA, GetFullPathNameA, GetFullPathNameW, GetCurrentDirectoryA, SetCurrentDirectoryA, GetTempPathA, GetTempFileNameA, FindClose, FindFirstFileA, FindFirstFileW, SetLastError, FindNextFileA, CreateFileA, CreateFileW, GetFileSize, SetFilePointer, ReadFile, SetFileTime, WriteFile, SetEndOfFile, CreateEventA, LeaveCriticalSection, EnterCriticalSection, Sleep, CreateProcessA, GetCommandLineW, GetCurrentThreadId, HeapAlloc, DeleteCriticalSection, TlsSetValue, InterlockedIncrement, InterlockedDecrement, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetProcAddress, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, RtlUnwind, RaiseException, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapFree, UnhandledExceptionFilter, SetUnhandledExceptionFilter, TlsAlloc, TlsGetValue, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapSize

USER32.dll: DestroyWindow, PostMessageA, ShowWindow, MessageBoxA, KillTimer, EndDialog, SendMessageA, GetDlgItem, SetTimer, MessageBoxW, SetWindowTextW, SetWindowTextA, LoadStringW, LoadStringA, CharPrevA, DialogBoxParamA, GetWindowLongA, SetWindowLongA

OLEAUT32.dll: -, -

ExifTool:

file metadata

CharacterSet: Unicode

CodeSize: 92672

Comments:

CompanyName: Igor Pavlov

EntryPoint: 0x116af

FileDescription: 7z Self-Extract Setup

FileFlagsMask: 0x003f

FileOS: Windows NT 32-bit

FileSize: 389 kB

FileSubtype: 0

FileType: Win32 EXE

FileVersion: 3, 11, 0, 0

FileVersionNumber: 3.11.0.0

ImageVersion: 0.0

InitializedDataSize: 34304

InternalName: 7zS.sfx

LanguageCode: English (U.S.)

LegalCopyright: Copyright © 1999-2003 Igor Pavlov

LegalTrademarks:

LinkerVersion: 6.0

MIMEType: application/octet-stream

MachineType: Intel 386 or later, and compatibles

OSVersion: 4.0

ObjectFileType: Executable application

OriginalFilename: 7zS.sfx

PEType: PE32

PrivateBuild:

ProductName: 7-Zip

ProductVersion: 3, 11, 0, 0

ProductVersionNumber: 3.11.0.0

SpecialBuild:

Subsystem: Windows GUI

SubsystemVersion: 4.0

TimeStamp: 2003:10:06 12:10:14+02:00

UninitializedDataSize: 0

[jeanmimigab]

bonsoir,

 

le fichier est plutôt suspect ont va le renommer en .odl (afin qu'il ne puise pas être lancer) et l'uploader chez Antivir.

 

Pour cela...

 

• Télécharge Thot24.exe sur ton bureau.
  
• exécute le...un rapport log.txt va s'ouvrir et si le renommage du fichier a réussis, une page d'Upload vers Antivir va s'ouvrir.
  Dans cette page web, renseigne les différents champs comme cela:
  
• votre titre >> M.
  
• votre nom >> jeanmimigab
  
• adresse Email >> je te l'indique en "Message Perso"
  
• Pour le reste des champs tu ne change rien
  
• Dans cette page web clique sur "parcourir" et choisis le fichier "C:\Program Files\K-Lite Codec Pack\fixdivx.exe.old"
  
• Et enfin clique sur "envoyer"
  

 

Dis moi si tout c'est bien passer

[Thot24]

Bonsoir Jean-Mimi,

 

J'ai fait tout ça et le rapport devrait t'être envoyé.

 

Merci encore pour ton aide !

[jeanmimigab]

bonsoir,

 

effectivement j'ai reçu le mail de confirmation d'antivir, suis ce topic dans les prochains jour, car nous risquons d'avoir à supprimer ce fichier dans les prochains jours.

Il y a plus de chance qu'il soit infectieux que sain, mais ne te fais pas de bile car si le renommage du fichier à réussis, aucuns malware ne pourra l'utilisé

 

Tu peux supprimer le fichier Thot24.exe

 

Pense aussi a mettre à jour ton système ( SP3 et Internet explorer ) via "windows update"

 

Pour finir fais cela stp...

 

Pour désinstaller OTL, lance-le et clique sur purge outil...accepte le redémarrage du PC si demander.

 

ensuite il faut créer un point de restauration propre et supprimer ceux infectés en purgeant la restauration système, pour cela utilise OneClick2RP de Laddy

Téléchargement et tuto ici

 

ensuite...

 

Pour nettoyer les fichiers temporaires,souvent source de problèmes divers et nettoyer la base de registre Windows fais cela...

 

 

• Télécharge et installe Ccleaner en te rendant sur >> cette page <<
  
• Clique en haut à droite de la page sur "Download Lastest Version" pour lancer le téléchargement.
  
• Installe le et lance le...
  
• Dans la barre d'outil à gauche, clique sur "Nettoyer" (en bas à droite)
  
• Recommence cette opération jusqu'à ce que le message "0 octets supprimés" apparaisse dans la fenêtre de résultat.
  
• Pour info ce nettoyage peu aussi s'effectuer de manière transparente collant Ccleaner /auto dans la commande "Exécuter" du menu démarrer.
   
  Nettoyer aussi ton registre en cliquant sur "Registre" dans la barre d'outils à gauche.
  
• Clique ensuite sur "chercher des erreurs" en bas de la fenêtre, puis clique sur "corriger les erreurs sélectionnées".
  
• Accepte la sauvegarde du registre proposée et suis les instructions de Ccleaner.
  
• Pour info tu peux ouvrir Ccleaner directement à la rubrique "Registre" en collant Ccleaner /registry dans la fenêtre de commande "Exécuter" du menu démarrer.
   
  
• Si tu as besoin tu as un tutoriel >> ici <<

 

=====================================================================================================

 

Pense à mettre à jours Windows:

 

• La méthode la plus simple et l'utilisation de "Windows Update" qui se trouve dans ton menu démarrer

 

 

Pense à mettre à jours Java:

 

• La méthode la plus simple et l'utilisation de >> JavaRa <<

 

Pense à mettre à jour Acrobat reader si il est installé sur ton PC de cette manière:

 

• Ouvre Acrobat reader, clique sur "aide" et choisis "rechercher des mises à jours..."

 

========================================================================================================

Procède à une Défragmentation afin d'optimiser les temps d'accès du disque dur lors de la lecture des :

 

• Pour lancer une défragmentation, double-clique sur Poste de Travail,clic-droit sur le disque à défragmenter puis sur Propriétés.
  
• Choisis l'onglet Outils puis clique sur défragmenter maintenant .
  
• Cette opération est à renouveler régulièrement ( Environs une fois par mois ).

 

 

=====================================================================================================

 

 

 

 

 

un peu de lecture sur la manière de protéger ton surf et ton ordinateur:

 

• un Compte Utilisateur limité accroît la sécurité de l'ordinateur.
   
  
• Quelques mesures préventives pour surfer couvert.
   
  
• Comment éviter les imprudences d'installation.
   
  
• Reconnaitre et éviter les infections Msn.
   
  
• Si tu utilises "Face Book", lis >> cet article << afin de ne pas te faire piéger

 

Je te tient au courant dès que j'ai des nouvelle des laboratoire d'Avira

 

bonne soirée

[jeanmimigab]

hello,

 

j'ai eu confirmation des laboratoires d'Avira que c'est bien infectieux...

 

peux-tu compresser ce fichier (clic-droit dessus > envoyer vers > dossier compressé ) et me filer le dossier.zip obtenu par Email au mail que je t'ai filé en "message perso"

 

ensuite supprime le fichier C:\Program Files\K-Lite Codec Pack\fixdivx.exe.old et le dossier "fixdivx.exe.zip"

 

merci de ta collaboration et @++

[Thot24]

Bonjour Jean-Mimi,

 

C'est bon tout est rentré dans l'ordre suite à tes conseils. Merci encore pour le temps que tu m'as consacré.

 

Ciao,

Thot24

[jeanmimigab]

Bonsoir, de rien c'était avec plaisir, et merci pour le fichier que tu m'as envoyer

 

@++