besoin d'aide pour se débarasser de WIN32

[chanoly3]

salut,

 

 

 

j'ai le virus Win32 dont je n'arrive pas à me débarasser.

 

pourriez-vous me donner un petit coup de pouce.

 

merci

[Malekal_morte]

Bonjour,

 

Merci d'indiquer le fichier infecté détecté par ton antivirus

 

- Télécharge HijackThis puis génère un log :

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

- N'hésite pas à consulter l'aide HijackThis -

[chanoly3]

Salut et merci à toi de venir à mon aide.

 

 

avast me donne ceci :

 

fichier de rapport c : \program files\alwil softare\avast4\data\report\aswbo ot.txt.

 

analyse de tous les lecteurs locaux.

 

 

Fichier c: \system volume information\-restore[1bf8d106-df97-4817-ab30-e0694 5c206040]\pp15\a002078-0111\[upx]est infecté par win32:agent.re [trj]

 

 

 

 

pour ce qui est du rapport hijacthis, le voilà :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:38:24, on 02/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WordBiz\WordBiz.exe

C:\WINDOWS\system32\jview.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.610\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Encore une fois merci. (je préfère t'informer de suite que je suis un peu nulle en informatique, et qu'il me faut parfois du temps à comprendre votre "parlé" !!!!)

[Malekal_morte]

- Demarrer / executer / tape services.msc

- Cherche BONTY dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

___

 

 

Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

 

_____

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

 

Sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox!. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Copie/colle le rapport du scan ici

 

Si le scan avec Kaspersky ne fonctionne pas, fais ceci :

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[chanoly3]

Re,

 

 

voilà tout est fait, pour le scan kaspersky, impossible.........; voilà donc le rapport de Panda.

 

 

encore merci

 

faudrait peut-être que je le poste !!!!!

 

AH quelle tête en l'air . lol

 

 

 

Incident Statut Analyse

 

Outil indésirable:application/zango No Désinfecté hkey_local_machine\software\Zango Programs

Outil indésirable:application/mywebsearch No Désinfecté hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\aaw\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\clonecd\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\clonedvd\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\flashxp\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\free\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\kap5\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\kavh\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\nero\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\netsp1\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\oo\cmdow.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\apps\Super\cmdow.exe

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[ilead.itrack.it/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.bs.serving-sys.com/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[server.iad.liveperson.net/]

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[server.iad.liveperson.net/hc/LPplayersonly]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.realmedia.com/]

Spyware:Cookie/did-it No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt[.did-it.com/]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt

Virus Eventuel. No Désinfecté C:\Documents and Settings\Administrateur\Mes documents\sécurité\ATF-Cleaner.exe

Outil indésirable:Application/HideWindow.S No Désinfecté C:\WINDOWS\system32\cmdow.exe

[Malekal_morte]

cmdow.exe est détecté comme un hacking tool par Panda, il permet de cacher des fenetres Windows (par exemple un programme qui se connecte à des serveurs pour controler ta machine peut-être à l'aide de ce programme).

Il peut aussi etre utilisé dans des autorun ou autre.

 

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Tu peux le supprimer cmdow.exe ici :

C:\apps\aaw\cmdow.exe

C:\apps\clonecd\cmdow.exe

C:\apps\clonedvd\cmdow.exe

C:\apps\flashxp\cmdow.exe

C:\apps\free\cmdow.exe

C:\apps\kap5\cmdow.exe

C:\apps\kavh\cmdow.exe

C:\apps\nero\cmdow.exe

C:\apps\netsp1\cmdow.exe

C:\apps\oo\cmdow.exe

C:\apps\Super\cmdow.exe

C:\WINDOWS\system32\cmdow.exe

 

Ca doit etre propre.

 

je t'invite à jeter un coup d'oeil à ces liens :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses sur Malware-Complaints, plus nous serons nombreux, :

voir les règles du forum

Recenser son infection dans la partie francophone, il est conseillé de s''enregistrer sur le forum à partir du bouton en haut "register"

[chanoly3]

re,

 

voilà j'ai tout supprimé;

 

pour vérifier que mon pc est propre, je refais un scan avec pa,da ou avec avast ?

 

encore une petite question, le meilleur antivirus, avast ou antivir ?

 

merci encore

[chanoly3]

re, re, re, !!!

 

 

bon y'a rien a faire avast vient de me signaler que le virus win32 était présent sur mon pc ! je l'ai donc mis en quarantaine. mais est-ce suffisant?

 

merci

[Malekal_morte]

tjrs dans c: \system volume information\-restore ?

tu as bien désactivé et réactivé la restauration du système comme demandé ?

[chanoly3]

re,

 

ben oui j'ai fait tout ce qui m'a été indiqué plus haut !!