Win32

Question

Hello, 
j'ai été denouveau infecté par ce virus ( win32) et je sais pas comment... c'est la deuxième fois que cela m'arrive T_T.
C'est pourquoi je fais appel à vous... La première fois que j'ai été infecté par ce virus j'ai essayé de le supprimer mais rien y faire il était trop tenace alors j'ai laissé tomber et j'ai formaté mon pc... Action que je n'ai vraiment pas du tout envie de recommencer...C'est pourquoi je voudrais savoir si il y avait un moyen de le supprimer sans passer par la case formatage ??? (le virus a été détecté aujourd'hui) 

J'ai déjà quelques problèmes qui je crois sont dûs à ce virus : 1. je n'ai plus de son
                                                                                      2. ma page d'accueil d'internet est bloquée sur 
                                                                                          quicknews.info => impossible de la changer

Help me... 
merci d'avance pour votre aide ^^

voici quelques indications qui peut-être vous aideront: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:49, on 25/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\SkyEnd.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://quicknews.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Skynet Connection] C:\WINDOWS\SkyGoOn.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

loloetseb · Answer

Salut,

Tu as une redirection à l'ouverture de ta page web sur ce site 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://quicknews.info/

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe

 F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe

Tu dois recevoir pas mal de pub non?

As tu installé malwarebytes anti malware?

loloetseb · Answer

Tu as un probleme sue cette ligne là

C: \ WINDOWS \ system \ lsass.exe 

Le Isass.exe est un ver de messagerie (MSN, ICQ, etc), de la famille Sohanad (notamment Sasser)

Je pense qu'il faut utiliser sdfix.

loloetseb · Answer

Oui,c'est un programme.Je vais te donner la procedure.As tu deja demarrer ton ordinateur en mode sans echec car la procedure devra se faire en mode sans echec?

loloetseb · Answer

Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Tu peux telecharger sdfix ici (tutorial et logiciel a telecharger)

https://www.malekal.com/slenfbot-still-an-other-irc-bot/

Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir ici pou le mode sans echec

https://www.malekal.com/demarrer-windows-mode-sans-echec/

Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

loloetseb · Answer

Penses a bien noter la procedure car en mode sans echec,tu n'auras plus acces a cette page.Envoies le rapport "report txt" comme indiqué et repostes un rapport hijack this apres.

loloetseb · Answer

D'accord si tu as un problème lors de la procédure,pas d'inquiétude,je reste connecté

loloetseb · Answer

Ah galere,la page bleu reste et puis plus rien ? As tu assez attendu? ca peut prendre quelques minutes

loloetseb · Answer

Non,c'est normal ,c'est galère.

As tu un firewall d'installé?


On va telecharger deux logiciels

Malwarebytes antimalware 


http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

Mets a jour malwarebytes et fais un scan rapide (suis la procedure jusqu'a la fin) et postes le rapport (celui ci est dans la partie rapport et log),fais ctrl+c et ctrl+v pour coller le rapport sur la page

ccleaner

http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

Ccleaner on l'utilisera plus tard

Je vais manger a tout a l heure

allexielly · Answer

je sais pas si c'est ça que tu m'as demander mais bon... ( je l'ai fais 2 fois )

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1692
Windows 5.1.2600 Service Pack 2

25/01/2009 19:55:41
mbam-log-2009-01-25 (19-55-41).txt

Type de recherche: Examen rapide
Eléments examinés: 46336
Temps écoulé: 6 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

loloetseb · Answer

Passes un coup de ccleaner

Quand tu lances ccleaner,vas dans option,puis avancé et decoches la case effacer uniquement les fichiers......plus vieux de 48 heures,puis nettoyeur,analyse et lancer le nettoyage

loloetseb · Answer

Si tu n'as pas de firewall,telecharges pc tool firewall plus

https://fr.norton.com/


http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/


Ton infection est un vers,nous allons le bloquer deja avec un firewall

loloetseb · Answer

Non,le 2eme lien est le tutorial (explication pour parametrer le firewall)

loloetseb · Answer

Ensuites telecharges escan de kaspersky (suis bien le tutorial notamment pour la mise a jour)

https://forums.cnetfrance.fr

Si tu as un probleme pour la mise a jour reviens vers moi.

Si tout est ok lances le scan (cela prendra une bonne heure).

Ensuite nous ferons un scan en ligne sur ce site qui est tres performant pour eradiquer les malwares,trojans et vers en tout genre.

http://www.mks.com.pl/skaner/skaner.html


Je te donnerais la procédure a suivre pour ce site (polonais)

loloetseb · Answer

Tu t'en sors?

loloetseb · Answer

Sur le lien que je t'ai donné,tu as le tutorial du logiciel (pour installer,faire la mise a jour et le scan)

loloetseb · Answer

Ok si tu es entrain de faire la maj,c 'est bon.Apres je t'expliquerais pour passer les maj dans le fichier principal ,c 'est ca le plus compliqué

loloetseb · Answer

Tu es encore là?

loloetseb · Answer

Non,non je suis la encore un peu,j'aimerais qu'on arrive à lancer escan

loloetseb · Answer

C'est normal,c'est precisé ,il me semble, sur le tutorial.La mise a jour a bien ete effectuée (tu as ensuite fais un copié collé du download dans le fichier KASPERKY et tu as basculé le fichier base dans le fichier Kaspersky)?

loloetseb · Answer

T'inquietes pas,on va y arriver

loloetseb · Answer

Bon ben alors c'est parfait tu peux lancer le scan en suivant le tutorial (ca devrait te virer deja certaines infections)

loloetseb · Answer

As tu aussi installer ton firewall pc tools ?

loloetseb · Answer

Tu dois pas cliquer sur le bon fichier,le bon fichier est

mwavscan

Ouvrez le dossier C:\Kaspersky,et faites un double-clic sur mwavscan.com pour lancer l'application.

Application MS-DOS mwavscan.com

Cochez la case "Drive". Vous devriez avoir exactement les mêmes options que sur l'image. Quand tout est prêt,cliquez sur Scan Clean pour lancer l'analyse:

loloetseb · Answer

J'ai pas compris ce que tu as dit?

loloetseb · Answer

Bon alors si tu as fait les maj,et, que ca t'indique cela,c est qu'il a du y avoir un bug dans la procedure ou dans le programme.Cela m'est arrivé aussi une fois.On est pas verni ce soir,tu te sens de refaire la procedure ou on essaie autre chose

Je peux te donner un lien pour un scan antivirus en ligne classique

loloetseb · Answer

Utilises le scan en ligne bitdefender

http://www.bitdefender.fr/scan_fr/scan8/ie.html

loloetseb · Answer

Utilies ie pour faire le scan en ligne,acceptes l'active x et lances le scan

loloetseb · Answer

Non cela devrait descendre assez vite (normalement une 30 ene de minutes).On peut quand meme dire hourra car c est le premiere chose qui fonctionne!!!

loloetseb · Answer

Ce qui est dommage,c'est que si on reussi a faire sdfix e mode sans echec,on aurait surement fini maintenant.Bon apres le scan,si tu as le courage,on va faire un autre scan en ligne sur mks antimalware (il va te supprimer la majorité de tes infections),mais je dois resté avec toi  pour la rocedure la le site est en polonais

loloetseb · Answer

Mks scanner anti trojans et malwares en ligne,c'est a mon avis le logiciel en ligne le plus performant pour les malwares ,trojans et vers en tout genre

http://www.mks.com.pl/skaner/skaner.html

Utilises ie,acceptes l'actives x,la mise a jour de la base de signature doit s'effectuer automatiquement (sinon lances le scanner sans cocher de cible c,d,etc,la mise a jour devrait s'effectuer),ensuite lance le scan.Pour chaque infection trouver,mks te proposera de nettoyer,renommer,supprimer ou deux autres propositions.Supprimes (skre&#347;lenie ou usun&#261;&#263;) tout ce qu'il trouve.Lorsque un infection est detectéSi tu ne trouves pas la case supprimer,c est la troisieme en haut a droite,je te precise car c'est en polonais).

Je te mets ce lien qui peut etre utile

https://translate.google.com/

loloetseb · Answer

Postes moi le rapport bitdefender quand le scan est fini(s'il a trouvé quelque chose bien sur!!)

loloetseb · Answer

Bon d'accord,laisses finir le scan et tu me postes le rapport demain si tu peux,ensuite on finira le reste de la procedure,on utilisera ensuite toolbar sd.Bonne nuit,je vais pas tarder non plus!!!

loloetseb · Answer

Je serais connecté plutot en fin de soirée,a demain

Win32

33 réponses

Discussions similaires

Newsletters