Virus vitro dans système 32

chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention   -  
Babacool33 Messages postés 302 Statut Membre -
Bonjour,

mon pc est sous XP et j'utilise firefox

mon pblm, c'est qu'hier avast m'a trouvé ce virus dans windows -> système 32
je l'ai mis en quarantaine. j'ai voulu aller voir le chemin d'accès, mais avast m'en a trouvé d'autres.
les fichiers infectés sont : accwiz.exe - cmstp.exe - msiexec.ex et tourstart.exe

on a éteint le pc et lorsqu'on a voulu redémarrer, plus moyen d'aller sur le bureau.
ce soir, j'ai ouvert en mode sans échec, et j'ai voulu sauvegarder mes fichiers en les gravant, mais ça a planté!!

on vient de refaire un essai et lancer avast (sans connection internet) et voilà qu'il me trouve d'autres fichiers infectés : at.exe - arp.exe - actmovie.exe et impossible de les mettre en quarantaine car soi-disant une erreur est survenue.
du coup j'ai à nouveau éteint le pc. et pas moyen de l'ouvrir autrement qu'en mode sans échec.

j'ai eu le temps de noter le virus :

WIN 32 : VITRO
VIRUS/VER
VersionVPS 090323-0, 23/03/2009

Que puis-je faire pour supprimer ce ver sans endommager mon pc et ne pas perdre mes dossiers?
merci d'avance pour tous les conseils qui seront les bienvenus.
bonne soirée

chris
Configuration: Windows XP
Firefox 3.0.7

22 réponses

  • 1
  • 2
  1. Babacool33 Messages postés 302 Statut Membre 9
     
    Pas moyen de Faire un Hijackthis ?
    0
  2. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    salut,
    je suis novice dans les termes informatiques, dsl

    ça veut dire quoi faire un hijackthis??
    et comment est-ce qu'on fait-on??

    merci pour ton message

    chris
    0
  3. Babacool33 Messages postés 302 Statut Membre 9
     
    Hijackthis est un logiciel que tu trouvera dans l'onglet ''Télécharger'' de comment sa marche.com

    Il permet d'analysé entièrement ton Pc

    Mais pour cela il te le faut sur l'ordi infecté : /

    A mon avis comme tu lance le mode sans echec tu ne peut pas allé sur le net

    ske je te conseille c'est de prendre tas ptite clef USB de mettre Hijackthis dessus d'aller faire une analyse complète sur ton Pc infecté et ramené le rapport et me l'envoyé sur se topic ;)

    Aprés tu prendra sur le net Navilog1 et Ad-Remover

    cela servirons a ''clean'' ton Pc

    Voila :D
    0
  4. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    super gentil, merci de m'aider
    j'apprécie énormément

    je vais faire exactement comme tu me dis.
    par contre, comment je t'envoie le rapport sur le topic??

    merci à toi

    chris
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    hello Babacool,

    donc j'ai bien suivi tes conseils avisés.
    j'ai téléchargé hijackthis et fais l'analyse du pc infecté.
    voici le rapport :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:51:26, on 26/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
    C:\Program Files\Ahead\nero\nero.exe
    C:\Documents and Settings\Didier\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/downloads/BUM/BUM_WIN_IE_2/axofupld.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  7. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    re bonjour,

    j'ai télécharger navilog1 mais pour ad-remover, je comprends rien, il ne se télécharge pas
    à chaque fois, lorsque je clique sur téléchargement ça m'envoie ici :

    https://www.dxcllc.com/

    et ça donne une liste de sponsor, sniffff je comprend rien, sniffff
    0
  8. Babacool33 Messages postés 302 Statut Membre 9
     
    Alors pour Ad-Remover je t'envoie un liens qu'un pote m'avais passer pour nettoyé mon Pc

    Tu est infecté de spywer d'un vitro et de 4 ou 5 trojans

    Sé très très moyen ^^'

    bouge pas^^
    0
  9. Babacool33 Messages postés 302 Statut Membre 9
     
    Désactive le contrôle des comptes utilisateurs
    QUE SI TU AS VISTA ! sinon passe à l'étape 2
    (tu le réactiveras après ta désinfection quand tu mettra ton sujet en résolu):

    * Va dans démarrer puis panneau de configuration
    * Double Clique sur l'icône "Comptes d'utilisateurs"
    * Clique ensuite sur désactiver et valide.
    * Redémarre ton PC

    Étape 2 : Ad-Remover

    * Télécharge et enregistre le fichier d installation sur ton bureau :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    * Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

    * Ouvre le dossier Ad-remover présent sur ton bureau, et double clique sur Ad-remover.bat.

    * Au menu principal choisi l'option "A"

    * Poste le rapport qui apparait à la fin.
    0
  10. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    ok, super!!!

    j'ai installé navilog1 et j'ai suivi leurs instructions.
    j'ai enregistré les rapports.

    bon je m'occupe de AD-R et je te poste le rapport.
    En tous cas, un méga merci de m'aider.
    c'est galère quand on y connait rien!!!

    @ très vite

    Chris
    0
  11. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    hello Babacool

    voici le rapport de AD-R :

    ------- LOGFILE OF AD-REMOVER 1.1.2.2 | ONLY XP/VISTA -------

    Updated by C_XX on 25/03/2009 at 20:00
    Contact: AdRemover.contact@gmail.com
    Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    Start at: 16:10:00, Jeu 26/03/2009 | Boot mode: Safe Boot
    Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
    Operating System: Microsoft® Windows XP™ Service Pack 2 (version 5.1.2600)
    Computer Name: CASTORE
    Current User: Didier - Administrator
    Drive(s):
    - C:\ (File System: NTFS)
    - D:\ (File System: FAT32)
    - F:\ (File System: FAT32)
    System Drive: C:\
    Windows Directory: C:\WINDOWS\
    System Directory: C:\WINDOWS\System32\

    --- Running Processes: 14

    +-----------------| Boonty/Boonty Games Elements Found:

    .
    .

    +-----------------| Eorezo Elements Found:

    .

    +-----------------| Infected Poker Softwares Elements Found:

    .

    +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

    .
    .

    +-----------------| It's TV Elements Found:

    .

    +-----------------| Sweetim Elements Found:

    .

    ============ Other Adwares Found ============

    .
    HKLM\Software\Trymedia Systems
    .
    C:\Documents and Settings\Didier\Cookies\didier@atdmt[2].txt
    C:\Documents and Settings\Didier\Cookies\didier@bs.serving-sys[2].txt

    +-----------------| Added Scan:

    ---- Mozilla FireFox Version 3.0.6 ----

    ProfilePath: b5in0pjp.default (Didier)
    .
    Prefs.js: Browser.Search.DefaultEngineName: "Google"
    Prefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
    .
    .
    .
    .
    .

    ---- Internet Explorer Version 7.0.5730.11 ----

    +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start page: hxxp://www.msn.com/

    +-[HKEY_USERS\S-1-5-21-2025429265-1532298954-839522115-1004\..\Internet Explorer\Main]

    Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start page: hxxp://www.msn.com/

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://home.microsoft.com/search/lobby/search.asp
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start page: hxxp://www.msn.com

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: hxxp://ieframe.dll/tabswelcome.htm

    +---------------------------------------------------------------------------+

    2675 Byte(s) - C:\Ad-Report-Scan-26.03.2009.log

    0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
    0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

    End at: 16:18:28 | 26/03/2009
    .
    +-----------------| E.O.F - 66 Lines
    .

    si tu veux voir celui de navilog, je peux te le poster aussi.

    est-ce que je peux relancer win xp normalement, ou bien y a-t-il autre chose à faire?

    merci à toi

    chris
    0
  12. Babacool33 Messages postés 302 Statut Membre 9
     
    bon maintenant avec Ad-Remover tu lance et tu choisie l'option 2

    désinfection sé je crois

    Aprés tu fait la méme chose avec Navilog1

    Et ton pc remarche :O normalement

    N'oublie pas de le redémarré ;)
    0
  13. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    ok, c'est en cours.
    merci Babacool

    je te dis le résultat de toutes manières.

    chris
    0
  14. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    mauvaise nouvelle : ça remarche pas
    il reste sur l'écran avec le paysage de windows, mais il n'ouvre pas le bureau.
    au démarrage, il ouvre aussi toujours la fenêtre qui demande le mot de passe
    alors qu'on l'a supprimé.

    peut-on faire quelque chose d'autre, ou faut-il formater?

    merci à toi

    chris
    0
  15. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    ah par contre, avec la partie 2 de AD-R, j'ai fait supprimer tout
    car il me proposait plusieurs fichiers

    et pour navilog1, j'ai été obligé de repasser par la phase 1,
    car sinon il me validait pas la phase 2.

    est-ce que c'était bon??
    0
  16. Babacool33 Messages postés 302 Statut Membre 9
     
    Oui sé bon tu fait tout suprimer avec Ad-remover

    Et sa devrais allé mieu

    Si jamais sa ne va pas

    Recontact moi

    J'aurais un autre logiciel

    Si jamais sa marche pas Reformate sa reste la meilleur solus ;)
    0
  17. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    non ça n'a pas marché, snifffff

    il n'ouvre que le décor de windows xp
    il ne remet pas le bureau

    que faire??? s'il te plait à l'aideeeee
    0
  18. Babacool33 Messages postés 302 Statut Membre 9
     
    Tu as essayé control alt suprr ?

    cela ouvre le gestionnaire de tache

    Apré tu fait Nouvelle tache
    0
  19. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    non, je savais pas
    je vais le faire mais si j'arrive jusqu'à nouvelle tâche
    je fais quoi après?
    0
  20. chrisdido Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    bon en fait ça marche pas
    0
  21. Babacool33 Messages postés 302 Statut Membre 9
     
    Dsl la je vois pas

    Formate je vois que sa
    0
  • 1
  • 2