Supprimer virus Kavos Résolu/Fermé

Question

Bonjour,


J'ai depuis quelques jours sur mon PC une alerte Avast qui me signal la présence d'un cheval de Troie nommé WIN32 : KAVOS.
J'ai cru comprendre que c'était une vrai saleté que j'aimerai bien supprimer de mon Disque Dur.
J'ai lu sur les différents forums que j'ai trouvé qu'il fallait faire une série d'étapes pour s'en débarrasser (analyses avec RSIT, fixation avec combofix puis élimination). Je souhaitais formater mon disque dur et j'en viens donc à mes deux questions:
1- un formatage éliminera t-il le problème?
2- si non, quelqu'un pourrait t'il m'aider durant les différentes étapes citées ci dessus parce que c'est au dessus de mes compétences informatiques?

Je vous remercie

Exon06
PS: en prévision de la réponses deux, j'ai déjà réalisé l'analyse avec RSIT et je posterai les résultats si je trouve mon guide de PC pour éviter un premier poste beaucoup trop long...

jfkpresident · Answer

hello ;

Il y a possibilité d'éliminer le trojan KAVO ,peux tu me poster le rapport RSIT .

jfkpresident · Answer

Ouahhh !!! tu as besoin de tous ces logiciels de P2P ? ne t'étonne pas d'etre infecté ......

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

jfkpresident · Answer

On verra a la fin pour les logiciels de P2P,pour l'instant on va s'occuper de ces rootkits .

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\olhrwef.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Ensuite :

Télécharge smitfraudfix
Utilitaire de S!Ri: Moe et balltrap34

Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation option 1 Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 aide en images

jfkpresident · Answer

On va faire un petit nettoyage des outils que tu aurais pu télécharger et on va repasser Combofix .

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Supprime également combofix (qui se trouve a la racine de ton disque dur ainsi que C:\Qoobox) .

Ensuite tu le retélécharge comme ceci :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Renomme combofix.exe en scan.exe .


Une fois fait, sur ton bureau double-clic sur scan.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Utilisateur anonyme · Answer

Salut Exon,


En attendant le retour de JFK ,

tu veux bien faire ceci ? (un scan pour kavo)

telecharge ce fichier sur le bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbScan.rar

extrait le et double clic sur usbscan.cmd

choisi l option 2 et post le rapport stp

Jfk ne m en voudra pas 

concernant : C:\WINDOWS\system32\olhrwef.exe 


c est le remplacant du ckavo vamsoft kamsoft etc , attention au dll.

merci

Exon06 · Answer

Bonsoir, JE reviens avec des étapes qui ont été menées a bien. Pour jfkpresident, les resultats de Cleaner et de combofix [ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ] -->- Recherche: C:\SmitFraudFix.exe: trouvé ! C:\SDFIX: trouvé ! C:\SmitFraudfix: trouvé ! C:\Rsit: trouvé ! C:\WINDOWS\msnfix.txt: trouvé ! C:\WINDOWS\system32\*.msnfix: trouvé ! C:\Documents and Settings\cédric\Bureau\SdFix.exe: trouvé ! C:\Documents and Settings\cédric\Bureau\SDFIX: trouvé ! C:\Documents and Settings\cédric\Bureau\virus KAvos\ComboFix.exe: trouvé ! C:\Documents and Settings\cédric\Bureau\virus KAvos\Rsit.exe: trouvé ! C:\Program Files rend micro\HijackThis.exe: trouvé ! C:\Program Files rend micro\hijackthis.log: trouvé ! --------------------------------- -->- Suppression: C:\SmitFraudFix.exe: supprimé ! C:\Documents and Settings\cédric\Bureau\SdFix.exe: supprimé ! C:\Documents and Settings\cédric\Bureau\virus KAvos\ComboFix.exe: supprimé ! C:\Program Files rend micro\HijackThis.exe: supprimé ! C:\WINDOWS\msnfix.txt: supprimé ! C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !! C:\Documents and Settings\cédric\Bureau\virus KAvos\Rsit.exe: supprimé ! C:\Program Files rend micro\hijackthis.log: supprimé ! C:\SDFIX: supprimé ! C:\SmitFraudfix: supprimé ! C:\Rsit: supprimé ! C:\Documents and Settings\cédric\Bureau\SDFIX: supprimé ! Corbeille vidée! Fichiers temporaires nettoyés ! ComboFix 09-02-24.02 - cédric 2009-02-25 20:55:50.1 - [color=red][b]FAT32/b/colorx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.767.460 [GMT 1:00] Lancé depuis: c:\documents and settings\cédric\Bureau\scan.exe AV: avast! antivirus 4.8.1335 [VPS 090225-1] *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\fmark2.dat c:\windows\pack.epk c:\windows\system32\404Fix.exe c:\windows\system32\Agent.OMZ.Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\fzslexqjdc.dat c:\windows\system32\fzslexqjdc_nav.dat c:\windows\system32\fzslexqjdc_navps.dat c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\olhrwef.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32 mp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ONESTEP_SEARCH_SERVICE ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-25 au 2009-02-25 )))))))))))))))))))))))))))))))))))) . 2009-02-25 14:53 . 2009-02-25 14:53 d-------- C:\Backups 2009-02-25 14:52 . 2009-02-25 14:52 d--h----- c:\documents and settings\Administrateur\Modèles 2009-02-25 14:52 . 2009-02-25 14:52 d-------- c:\documents and settings\Administrateur\Menu Démarrer 2009-02-25 14:52 . 2009-02-25 14:52 dr------- c:\documents and settings\Administrateur\Favoris 2009-02-25 14:52 . 2009-02-25 14:52 d-------- c:\documents and settings\Administrateur\Bureau 2009-02-25 14:52 . 2009-02-25 14:52 d-------- c:\documents and settings\Administrateur 2009-02-25 14:32 . 2009-02-25 14:32 579,584 --a------ c:\windows\system32\dllcache\user32.dll 2009-02-25 14:30 . 2009-02-25 14:30 d-------- c:\windows\ERUNT 2009-02-25 14:30 . 2009-02-25 14:30 8,192 --ahs---- c:\windows\Thumbs.db 2009-02-25 08:15 . 2009-02-25 08:15 d--h----- c:\windows\$hf_mig$ 2009-02-24 22:14 . 2009-02-24 22:14 d-------- c:\program files rend micro 2009-02-23 08:28 . 2009-02-23 08:28 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-02-21 23:27 . 2009-02-21 23:27 d-------- c:\program files\Windows Live SkyDrive 2009-02-17 12:07 . 2009-02-17 12:07 d-------- c:\program files\Final Fantasy VII 2009-02-16 11:20 . 2009-02-16 11:48 3,532 --a------ C:\drmHeader.bin 2009-02-15 22:10 . 2008-11-06 17:37 129,784 --------- c:\windows\system32\pxafs.dll 2009-02-15 22:10 . 2008-11-06 17:37 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys 2009-02-15 22:10 . 2008-11-06 17:37 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys 2009-02-15 22:09 . 2009-02-15 22:09 d-------- c:\program files\DivX 2009-02-06 19:39 . 2009-02-06 19:39 308,600 --a------ c:\windows\WLXPGSS.SCR 2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-07 09:52 304,182 ----a-w C:\StiImg.dat 2009-01-05 09:22 --------- d-----w c:\program files\RomStation 2009-01-03 18:36 --------- d-----w c:\program files\ma-config.com 2009-01-03 18:36 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com 2008-12-26 07:16 --------- d-----w c:\program files\Monte Cristo 2008-12-22 08:37 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll 2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll 2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll 2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll 2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll 2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll 2007-10-04 10:17 774,144 ----a-w c:\program files\RngInterstitial.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2005-03-18 106496] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-22 136600] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152] "AudioDeck"="c:\program files\VIAudioi\SBADeck\ADeck.exe" [2005-01-05 495616] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000] "SiSPower"="SiSPower.dll" [2005-03-03 c:\windows\system32\SiSPower.dll] "nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm "vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll "vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll "vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Azureus\Azureus.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "d:\jeux\jeux vidéo\GBA\emulateur\VisualBoyAdvance.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "17391:TCP"= 17391:TCP:BitComet 17391 TCP "17391:UDP"= 17391:UDP:BitComet 17391 UDP "10428:TCP"= 10428:TCP:BitComet 10428 TCP "10428:UDP"= 10428:UDP:BitComet 10428 UDP "23317:TCP"= 23317:TCP:BitComet 23317 TCP "23317:UDP"= 23317:UDP:BitComet 23317 UDP R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-07 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-12-07 20560] R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-19 55136] R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360] R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656] S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-12-19 195752] S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2007-07-22 299904] S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2007-08-21 402432] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ab0c00a-0043-11de-97f5-00016cc45579}] \Shell\AutoRun\command - F:\2fiy.bat \Shell\open\Command - F:\2fiy.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8313a4c-b1fc-11dc-ac25-00016cc45579}] \Shell\AutoRun\command - F:\setup.exe AUTORUN=1 . Contenu du dossier 'Tâches planifiées' 2009-02-12 c:\windows\Tasks pc.job - c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe [] . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe . ------- Examen supplémentaire ------- . uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: &Google Search IE: Backward &Links IE: Cac&hed Snapshot of Page IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Si&milar Pages FF - ProfilePath - c:\documents and settings\cédric\Application Data\Mozilla\Firefox\Profiles\68qi4nab.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Microsoft\Office Live pOLW.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-25 21:00:14 Windows 5.1.2600 Service Pack 3 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . ------------------------ Autres processus actifs ------------------------ . c:\program files\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE c:\program files\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE c:\program files\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE c:\windows\SYSTEM32\RUNDLL32.EXE c:\program files\ALWIL SOFTWARE\AVAST4\ASHDISP.EXE c:\program files\JAVA\JRE6\BIN\JQS.EXE c:\windows\SYSTEM32\NVSVC32.EXE c:\program files\ACER\ERECOVERY\MONITOR.EXE c:\windows\SYSTEM32\HPZIPM12.EXE c:\windows\SYSTEM32\WDFMGR.EXE c:\program files\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE c:\program files\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE . ************************************************************************** . Heure de fin: 2009-02-25 21:02:00 - La machine a redémarré ComboFix-quarantined-files.txt 2009-02-25 20:01:56 Avant-CF: 22 449 094 656 octets libres Après-CF: 22,354,198,528 octets libres 204 --- E O F --- 2009-02-15 19:14:42 Pour Chiquitine, le dossier rar ne contenait pas de usbscan.cmd mais un dvscan.cmd que j'ai essayé d'utiliser avec de nombreux messages d'erreurs. Je n'ai eu aucun rapport à la fin mais je pense que c'est moi qui me suis raté ici! Pour les deux, d'abord un grand merci pour votre aide et une question: combofix a essayer de faire une console de récupération mais, étant donné que cela demandais une connexion internet (et que j'avais mis de coté mes antivirus), j'ai préféré dire non. Faudra t-il à terme le faire? Exon

jfkpresident · Answer

combofix a essayer de faire une console de récupération mais, étant donné que cela demandais une connexion internet (et que j'avais mis de coté mes antivirus), j'ai préféré dire non. Faudra t-il à terme le faire?

Pendant que je regarde ton rapport tu peux le faire comme indiqué ici : http://www.bibou0007.com/outils-specifiques-f78/installer-la-console-de-recuperation-avec-combofix-t1224.htm

Utilisateur anonyme · Answer

re et ok

le lecteur : F:\ est egal a quoi ?

Utilisateur anonyme · Answer

et relance dvscan.cmd (desolé de l erreure de nom) fais l option 3 et colle le rapport ( t auras de message d erreure)

MERCI

jfkpresident · Answer

le lecteur : F:\ est egal a quoi ? 

Ce doit etre un disque amovible (clé usb ,disque externe...) .

Utilisateur anonyme · Answer

moué 

désolé pour les message d erreure :

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 

va dans le lecteur F et supprime : 2fiy.bat et autorun.inf

je te laisse avec jfk en te remerciant

jfkpresident · Answer

Adieu les clés mountpoints . Merci Chiki -;)

On aurait pu les virer avec un CF script aussi ...

jfkpresident · Answer

Je n'ai pas trouvé les deux fichiers que chiquitine me demandais de supprimer!

Regarde dans ton disque dur externe (F:\) .

jfkpresident · Answer

Ensuite tu va faire ceci :

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe


:Reg


:files
c:\windows\Tasks\rpc.job 
c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe
:services

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Suivi de ceci :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Je repasse demain soir ...Bonne nuit !

Utilisateur anonyme · Answer

re,

il est aussi possible qu il ne soit pas present , combo n a pas vu l autorun ...(lecteur fixe)

des kiss

jfkpresident · Answer

il me manque le rapport de OtmoveIt .

Exon06 · Answer

Après un scan complet d'Avast, je te confirme qu'Avast ne trouve plus le trojan (je ne sais pas si ça veut dire qu'il est définitivement parti).

J'ai encore des petites questions à te soumettre si l'histoire du virus est finie:
1- Comment peut-on formater le PC sans disque Windows (l'ami qui me l'a passé m'a dit que le système de formatage était déjà sur le disque dur, je ne sais pas comment y accéder)
2- le formatage va-t-il définitivement virer tous les logiciels (P2P, les logiciels de chimie,...)
3-Peux-tu m'expliquer brièvement les différentes étapes qui ont conduits à l'élimination du ver, s'il revient, j'essaierai de le viré seul

Merci 
Exon

jfkpresident · Answer

Moi j'ai une question pour toi : Pourquoi veux tu absolument formater alors que ton pc est  maintenant désinfecté ?

jfkpresident · Answer

salut ;

Si tu penses vraiment formater ,regarde ce tuto (merci nardino) qui est tres explicite : comment formater?

Il ne reste qu'a te souhaiter une bonne continuation pour la suite ;)

EDIT : tu peux mettre ton post en résolu ,si tu n'es pas membre clique sur le petit triangle jaune afin de poser ta requete aupres de la conciergerie .

Supprimer virus Kavos

19 réponses

Discussions similaires