Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus Win32:horst-C [trj]


Messages recommandés

  • Modérateurs

Re, :-(

 

Désolé du retard. :P

 

Pour répondre à ta question posée en MP, le message n'apparaissait pas encore car je ne l'avais pas validé, je n'avais pas fini de l'écrire :P

 

Ton hijackthis.exe se trouve ici : C:\Documents and Settings\PC\Mes documents\mes logiciels\HijackThis.exe Il te faut le couper-coller (par exemple) et le déplacer dans un dossier racine, c'est à dire directement dans c:\[le nom du dossier que tu veux].

 

Pour ton pare-feu, fais comme ceci :

 

- Dans Menu Démarrer, Exécuter : tape : services.msc puis [ENTREE]

Cherche le service Pare-feu windows/partage de connexion internet. Passe le en Automatique, et démarre le. Aide toi de ce tuto si tu as des difficultés : http://www.zebulon.fr/articles/services_1.php

Je ne te le fais activer que temporairement, je préférerais que tu optes pour un autre pare-feu, celui de windows ne filtre pas en sortie. En fin de procédure tu pourras en choisir un.

 

Début de la procédure.

 

Je te conseille de désactiver Windows Defender pour éviter qu'il ne vienne interférer dans le nettoyage. Si tu as d'autres résidents de ce genre que je n'aurais pas vu, désactive les également.

 

1.Téléchargement des outils.

 

-Télécharge et installe EasyCleaner de Toni Helenius (Programme faisant parti de la catégorie des nettoyeurs)

 

-Télécharge la version d'évaluation d'Ewido: Installe et mets à jour (procède comme indiqué ci-dessous) :

Important: Pendant l'installation, sur la page "Additional Options" :

décoche les deux options "Install background guard" et "Install scan via context menu".

Démarre Ewido avec l'icône qui se trouve sur le Bureau.

Clique sur mise à jour, attends la fin de cette mise à jour, puis ferme le programme.

 

-Télécharge ATF Cleaner par Atribune.

 

-Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.

 

2. Redémarrage en mode sans échec.

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapoter rapidement sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

3. Affichage des fichiers et dossiers cachés.

 

-Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :
  1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  2. Cocher le bouton radio : Afficher les fichiers et dossiers cachés
  3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
  4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
    ---> Répondre OUI à la demande de confirmation
  5. Cliquer Appliquer puis OK

 

4. Suppression des éléments infectieux.

 

Note : il est possible que tu ne trouve pas des éléments que je te demande de désinstaller, supprimer ou fixer. Tu ne t'en inquiètes pas et tu continues la procédure. Il te faudra par contre l'indiquer lorsque tu posteras le rapport Ewido en fin de procédure.

 

- Dans Menu Démarrer, Exécuter : copie et colle le chemin suivant : C:\windows\system\ puis [ENTREE]

Puis supprime le fichier suivant :

 

smss.exe Fais bien attention à ne supprimer que celui ci. Un fichier légitime portant le même nom se trouve dans d'autres dossiers.

dfrquoui.exe

 

- Dans Menu Démarrer, Exécuter : copie et colle le chemin suivant : C:\windows\system32\ puis [ENTREE]

Puis supprime le fichier suivant :

 

dfrquoui.exe

 

-Vide la corbeille.

 

5. Suppression (FIX) des lignes dans HijackThis.

 

Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [tF8Q3mP] dfrquoui.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} -

 

-Ferme toutes les fenêtres sauf HijackThis et Fix Checked.

 

6. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

-Double-cliquer ATF-Cleaner.exe afin de lancer le programme :

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

-Exécute EasyCleaner (Utiliser le raccourci sur le bureau) :

Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all".

 

-Exécute JV16 puis :

Mets le logiciel en français Preferences > Language > Français > OK.

Ensuite, Outils registre > menu Outils > nettoyeur de registre.

Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

Clique sur "Continuer" puis sur "Démarrer".

Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert.

 

7. Nettoyage complémentaire par EWIDO.

 

-Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

8. Redémarrage en mode normal.

 

-Redémarre en mode normal et poste le rapport EWIDO et un nouveau Log HijackThis.

 

Si tu as des questions, n'hésite pas :-P

Modifié par Gof
Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Attention, j'ai du édité pour une faute de frappe dans un chemin indiqué dans la procédure.

- Dans Menu Démarrer, Exécuter : copie et colle le chemin suivant : C:\windows\system\ puis [ENTREE]

Puis supprime le fichier suivant :

 

smss.exe Fais bien attention à ne supprimer que celui ci. Un fichier légitime portant le même nom se trouve dans d'autres dossiers.

dfrquoui.exe

 

- Dans Menu Démarrer, Exécuter : copie et colle le chemin suivant : C:\windows\system32\ puis [ENTREE]

Puis supprime le fichier suivant :

 

dfrquoui.exe

 

Si tu imprimes ou copie-colle la procédure, pense à bien actualiser la page (par ton navigateur ou en appuyant sur F5).

Lien vers le commentaire
Partager sur d’autres sites

Voici mon rapport HjackThis après procédure:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:32:56, on 05/26/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Steganos Trace Destructor 6.5\itd.exe

C:\Program Files\InterVideo\WinDVR\WinScheduler.exe

C:\ACROREAD\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tele2internet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.tele2internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.tele2internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [iTD65_ITD] "C:\Program Files\Steganos Trace Destructor 6.5\itd.exe" /booting

O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\ACROREAD\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/pcpitstop.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131789185968

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} -

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Internet Security\ISSVC.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\WINDOWS\System32\x10nets.exe (file missing)

 

 

 

Et voici maintenant mon rapport Ewido (toujours après procédure):

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 20:26:05, 26/05/2006

+ Somme de contrôle: E6A2E6A6

 

+ Résultats du scan:

 

Pas de fichiers infectés trouvés!

 

 

::Fin du rapport

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonsoir Canon560 :P

 

Bien pour le déplacement de Hijackthis. Le log est propre et le résultat du scan Ewido est de bon augure, bon boulot !

 

Peux tu m'indiquer où tu as trouvé ce fichier finalement dfrquoui.exe ? Dans system ou system32 ?

 

Avast réagit-il encore ? As tu des disfonctionnements avec le PC ?

 

Pour s'assurer également que tout est propre, je te demande de faire un scan en ligne Panda. Désactive le bouclier d'Avast au préalable, ils ne s'entendent pas trop tous les 2.

 

Dans un premier temps, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

Le tuto pour le scan si tu rencontres des difficultés: http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Et enfin le scan : http://www.pandasoftware.fr/Activescan/Activescan.html

 

Poste le rapport Panda à l'issue du scan. Si tu ne sais pas comment faire, c'est indiqué dans le tuto. :P

Lien vers le commentaire
Partager sur d’autres sites

Voila tout est correct. Avast! ne réagit plus, il n'y a plus aucun fichier temporaire caduque. J'ai réussi à supprimer dfrquoui grâce a windows defender. Je vous remercie pour tout. Je passerai l'analyse Panda dès demain. Je veux verifier si Avast! ne réagit pas dans la soirée, et je vous recontacterai dans les plus brefs delais pour vous dire ce qu'il en est. Une dernière chose. Pouvez vous me donner un logiciel pare-feu pour remplacer celui de windows car je n'arrive pas a le faire fontionner meme en faisant la manipulation que vous m'avez donnée. Je vous remercie encore une fois pour tout et a bientôt sur le forum de Zebulon! :P

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Re bonsoir :P

 

Pour ton problème de pare-feu windows, ce doit être un souci de configuration des services.

Lis bien ce tuto de Tesgaz : http://www.zebulon.fr/articles/services_1.php et suis le pas à pas. Lorsque tu as un service que tu ne connais pas, même avec le tuto, n'y touche pas et pose la question.

 

Ce lien te renverra sur une page Zebulon de pare-feux : http://telechargement.zebulon.fr/category-24.html

 

Personnellement j'utilise Zone Alarm. Si tu optes pour celui là tu auras un tuto ici : http://www.zebulon.fr/articles/configurationZA_1.php

 

Ne tarde pas trop à faire le scan Panda, cela permettra de nous assurer que tout est propre. Tant qu'on n'a pas de certitudes, ta désinfection n'est pas terminée ! :P

Lien vers le commentaire
Partager sur d’autres sites

Désolé, mais l'analyse Panda ne fonctionne pas. Le contrôle Active X ne peut pas se télécharger car Avast! le prend pour un virus et m'oblige a abandonner la connexion. Dois-je désactiver Avast! le temps que je passe l'analyse ou ne pas effectuer l'analyse? En espèrant avoir une réponse rapide. Canon560.

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour Canon560, :P

 

Juste le temps du scan en ligne, désactive temporairement Avast. Ils ne s'entendent pas Panda et lui. Si cela ne fonctionne toujours pas, je te proposerai un autre scan.

Lien vers le commentaire
Partager sur d’autres sites

C'est bon l'anallyse vient de se commencer. Je vous communique le rapport dès que possible.

Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en [Résolu] Virus Win32:horst-C [trj]

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...