Sujet Précédent Sujet Suivant

Virus Win32:Vitro. Help, s'il vous plaît!

Résolu/Fermé
Morgangan - 26 mars 2009 à 13:12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 27 mars 2009 à 14:50
Bonjour,

Voilà maintenant plusieurs semaines que je n'arrive pas à me débarasser d'un virus qui a infecté mon système.
Je suis sur XP familial SP3, avec un pc Packard Bell SJ81. Il est constitué de deux disque durs de 160 go, un principal ou est installé XP et l'autre pour la musique, les jeux tout ça.

Voilà alors le virus se présente de la façon suivante: J'ai installé un jeu (World Of Warcraft), étant fervent joueur, un jour, je me suis connecté et mon compte était hacké. Depuis, le PC est inaccessible, je ne peux presque plus rien faire. Au démarrage, une fenêtre se présente me demandant de choisir l'utilisateur, puis, arrivé sur le bureau de nombreuses fenetres apparaissent: "Generic Host Process for Win32 Services: Le service a été aretté"
Beaucoup de ces fenêtres nuisent au bon fonctionnement du PC. Encore une autre: "logonui.exe a subi une erreur et doit être aretté".

Après tout ces virus, j'ai choisi de formater les disques et de réinstaller windows XP. Chose faite, le virus était toujours là. En effet mon compte s'est refait hacké, et j'ai eu encore les mêmes problèmes. J4ai alors choisi de reformater et de mettre aVast de suite après le formatage. Chose faite, avast ne détecte aucun virus à l'analyse au démarrage, mais 10 minutes plus tard, chaque logiciel que je lance est "soit disant" infecté par Win32:Vitro. Alors il me met en quarantaine iexplore.exe, et beaucoup de fichiers système, ce qui le rend ainsi instable.

Je vous joinds le compte rendu Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:26, on 26/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\afisicx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tdctxte.exe
C:\WINDOWS\system32\gcc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Momohamed\reader_s.exe
C:\Program Files\Curse\CurseClient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\svchost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gcc.exe,C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\windres.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ndetect.exe,C:\WINDOWS\system32\c++.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.24\RivaTuner.exe" /S
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Momohamed\reader_s.exe
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [nidle] "C:\Documents and Settings\Momohamed\Application Data\nidle\nidle.exe" 61A847B5BBF728103B9D3B466188719AB689201522886B092CBD44BD8689220221DD3257 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: tdctxte Service (tdctxte) - Unknown owner - C:\WINDOWS\system32\tdctxte.exe
A voir également:

13 réponses

Réponse 1 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 mars 2009 à 13:17
slt

je pense vu le rapport que tu es infecté par virut!!! le virus le plus coriace actuellement et qui detruit les fichier systemes!


regarde ici

http://www.commentcamarche.net/faq/sujet 16138 comment supprimer virut
1
Réponse 2 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
26 mars 2009 à 13:30
Il va devoir formater de toute façon.
1
Réponse 3 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:32
c'est ce que je pense aussi...a mon avis,l'OS est vachement touché vu l'état du log!!!
1
Morgangan
27 mars 2009 à 04:58
J'ai suivi le conseil de jlpjlp concernant la suppression de viru:

J'ai installé DrWeb et executé un scan complet de mon disque dur, je vous copie ici le log:

reader_s.exe;c:\documents and settings\momohamed;Trojan.DownLoad.29459;Supprimé.;
curseclient.exe;c:\program files\curse;Win32.Virut.56;Désinfecté.;
msmsgs.exe;c:\program files\messenger;Win32.Virut.56;Désinfecté.;
rivatuner.exe;c:\program files\rivatuner v2.24;Win32.Virut.56;Désinfecté.;
explorer.exe;c:\windows;Win32.Virut.56;Désinfecté.;
unregmp2.exe;c:\windows\inf;Win32.Virut.56;Désinfecté.;
services.exe;c:\windows;Win32.Virut.56;Désinfecté.;
services.exe;c:\windows;BackDoor.Tdss.107;Supprimé.;
afisicx.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
afisicx.exe;c:\windows\system32;Trojan.DownLoad.33184;Supprimé.;
alg.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
c++.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
c++.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
cisvc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
clipsrv.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
cmd.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
codeblocks.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
codeblocks.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
ctfmon.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
deviceemulator.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
deviceemulator.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
dllhost.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
dmadmin.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
protect.sys;c:\windows\system32\drivers;Trojan.NtRootKit.429;Supprimé.;
dumprep.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
gcc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
gcc.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
ie4uinit.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
ieudinit.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
imapi.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
locator.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
logonui.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
mnmsrvc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
msdtc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
msiexec.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
ndetect.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
ndetect.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
netdde.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
nvsvc32.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
nwiz.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
reader_s.exe;c:\windows\system32;Trojan.DownLoad.29459;Supprimé.;
rsvp.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
rundll32.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
scardsvr.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
sessmgr.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
smlogsvc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
sopidkc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
tdctxte.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
u182546813.dll;c:\windows\system32;Trojan.PWS.Gamania.17989;Supprimé.;
ups.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
userinit.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
vmware-ufad.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
vmware-ufad.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
vssvc.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
wmiapsrv.exe;c:\windows\system32\wbem;Win32.Virut.56;Désinfecté.;
wmiprvse.exe;c:\windows\system32\wbem;Win32.Virut.56;Désinfecté.;
windres.exe;c:\windows\system32;Win32.Virut.56;Désinfecté.;
windres.exe;c:\windows\system32;Trojan.Spambot.2424;Supprimé.;
nidle.ex_;C:\Documents and Settings\Momohamed\Application Data\nidle;Trojan.DownLoad.32948;Supprimé.;
Wowhead_Client.exe;C:\Documents and Settings\Momohamed\Bureau;Win32.Virut.56;Désinfecté.;
Wowhead_Client.exe;C:\Documents and Settings\Momohamed\Local Settings\Temp\Répertoire temporaire 1 pour Wowhead_Client.zip;Win32.Virut.56;Désinfecté.;
ge[1].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\5EMNK766;BackDoor.Tdss.107;Supprimé.;
ge[2].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\5EMNK766;BackDoor.Tdss.107;Supprimé.;
abb[1].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\AQ94D518;Trojan.DownLoad.29459;Supprimé.;
abb[2].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\AQ94D518;Trojan.DownLoad.29459;Supprimé.;
abb[1].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\Y39L21CN;Trojan.DownLoad.29459;Supprimé.;
abb[2].txt;C:\Documents and Settings\Momohamed\Local Settings\Temporary Internet Files\Content.IE5\Y39L21CN;Trojan.DownLoad.29459;Supprimé.;
UIU32a.exe;C:\pnp\audio;Win32.Virut.56;Désinfecté.;
UIU32a.exe;C:\Program Files\CONEXANT\CNXT_HDAUDIO;Win32.Virut.56;Désinfecté.;
msinfo32.exe;C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo;Win32.Virut.56;Désinfecté.;
icwconn1.exe;C:\Program Files\Internet Explorer\Connection Wizard;Win32.Virut.56;Désinfecté.;
conf.exe;C:\Program Files\NetMeeting;Win32.Virut.56;Désinfecté.;
msimn.exe;C:\Program Files\Outlook Express;Win32.Virut.56;Désinfecté.;
wab.exe;C:\Program Files\Outlook Express;Win32.Virut.56;Désinfecté.;
PokerStarsUninstall.exe;C:\Program Files\PokerStars;Win32.Virut.56;Désinfecté.;
Tracer.exe;C:\Program Files\PokerStars;Win32.Virut.56;Désinfecté.;
Tracer.exe;C:\Program Files\PokerStars\update;Win32.Virut.56;Désinfecté.;
D3DOverrider.exe;C:\Program Files\RivaTuner v2.24\Tools\D3DOverrider;Win32.Virut.56;Désinfecté.;
RTSS.exe;C:\Program Files\RivaTuner v2.24\Tools\RTSS;Win32.Virut.56;Désinfecté.;
HijackThis.exe;C:\Program Files\Trend Micro\HijackThis;Win32.Virut.56;Désinfecté.;
wmplayer.exe;C:\Program Files\Windows Media Player;Win32.Virut.56;Désinfecté.;
wordpad.exe;C:\Program Files\Windows NT\Accessoires;Win32.Virut.56;Désinfecté.;
hh.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
regedit.exe;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
services.ex_;C:\WINDOWS;Win32.Virut.56;Désinfecté.;
services.ex_;C:\WINDOWS;BackDoor.Tdss.107;Supprimé.;
cscript.exe;C:\WINDOWS\$hf_mig$\KB951978\SP3QFE;Win32.Virut.56;Désinfecté.;
wscript.exe;C:\WINDOWS\$hf_mig$\KB951978\SP3QFE;Win32.Virut.56;Désinfecté.;
tzchange.exe;C:\WINDOWS\$hf_mig$\KB955839\SP3QFE;Win32.Virut.56;Désinfecté.;
ie4uinit.exe;C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE;Win32.Virut.56;Désinfecté.;
ieudinit.exe;C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE;Win32.Virut.56;Désinfecté.;
ie4uinit.exe;C:\WINDOWS\$hf_mig$\KB961260-IE7\SP2QFE;Win32.Virut.56;Désinfecté.;
ieudinit.exe;C:\WINDOWS\$hf_mig$\KB961260-IE7\SP2QFE;Win32.Virut.56;Désinfecté.;
helpctr.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
helpsvc.exe;C:\WINDOWS\pchealth\helpctr\binaries;Win32.Virut.56;Désinfecté.;
accwiz.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
clipbrd.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
cscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
drwtsn32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
dwwin.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
logagent.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mmc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mplay32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mshearts.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mshta.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
mstsc.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
net.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
net1.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
netsh.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
notepad.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
nvcplui.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
nvudisp.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
nvunrm.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
ping.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
rcimlby.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
rdshost.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
runonce.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
setup.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
sndvol32.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
spider.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
tourstart.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
verclsid.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
w.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wscript.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
wupdmgr.exe;C:\WINDOWS\system32;Win32.Virut.56;Désinfecté.;
msoobe.exe;C:\WINDOWS\system32\oobe;Win32.Virut.56;Désinfecté.;
rstrui.exe;C:\WINDOWS\system32\Restore;Win32.Virut.56;Désinfecté.;
migwiz.exe;C:\WINDOWS\system32\usmt;Win32.Virut.56;Désinfecté.;
wmiadap.exe;C:\WINDOWS\system32\wbem;Win32.Virut.56;Désinfecté.;
VRT1F.tmp\afisicx.exe;C:\WINDOWS\Temp\VRT1F.tmp;Trojan.DownLoad.33184;;
VRT1F.tmp;C:\WINDOWS\Temp;L'archive contient des éléments infectés;Quarantaine.;
keystone.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nvappbar.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nvcolor.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nvdspsch.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nvsvc32.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nvudisp.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
nwiz.exe;D:\Documents and Settings\Momohamed\Mes documents\101.29;Win32.Virut.56;Désinfecté.;
A0000159.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000160.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000161.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000162.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000163.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000164.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000165.exe;D:\System Volume Information\_restore{6632DFC1-E3A2-4C13-AB75-96CCB816DE93}\RP2;Win32.Virut.56;Désinfecté.;
A0000016.exe;D:\System Volume Information\_restore{C43A2500-2DF1-4E52-BDC5-020BF091A876}\RP1;Win32.Virut.56;Désinfecté.;
A0000054.exe;D:\System Volume Information\_restore{C43A2500-2DF1-4E52-BDC5-020BF091A876}\RP1;Win32.Virut.56;Désinfecté.;
A0000058.exe;D:\System Volume Information\_restore{C43A2500-2DF1-4E52-BDC5-020BF091A876}\RP1;Win32.Virut.56;Désinfecté.;
A0000059.exe;D:\System Volume Information\_restore{C43A2500-2DF1-4E52-BDC5-020BF091A876}\RP1;Win32.Virut.56;Désinfecté.;


J'ai redémarré, je pense que le virus a été retiré du PC. (En effet je n'ai plus de déconnection comme j'avais sans cesse avant). Mais quelque chose me met dans le doute:

Au démarrage du PC j'ai une fenêtre: Prévention de l'exécution des données:
Nom : Windows logon UI
Si je ferme le message, on me dit que logonui.exe a rencontré un problème et doit être fermé. (Je clique sur ne pas envoyer...)

Parfois j'ai un message: Generic Host Process je sais plus quoi qui le remplace après avoir cliqué sur ne pas envoyer, voir même run32dll.exe..

Bref!

Merci encore de votre aide elle m'est vraiment favorable, alors si je vous ai aidé hésité pas a me guider!
0
Réponse 4 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:17
salut

ça sent le cutwail/pandex/Kobcka... ou c'est du virut!!!!

Rends toi sur ce site :
https://www.virustotal.com/gui/
où ici
https://virusscan.jotti.org/
où ici
http://scanner.novirusthanks.org/

Clique sur "parcourir" où "Choisir"(selon le site) et cherche ce fichier : C:\Documents and Settings\Momohamed\reader_s.exe
Clique sur "Send File" où "Submit"(selon le site).
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
0
Morgangan
27 mars 2009 à 02:53
Voilà j'ai fait ce que tu m'as demandé:

Report Generated: 27.3.2009 at 2.51.00 (GMT 1)
Time for scan: 45 seconds
File Name: reader_s.exe
File Size: 36 KB
MD5 Hash: B21C88A7ADD7AFAC981011013CC37BBA
SHA1 Hash: 8D6FD06D1BFF66C83271DFD3B639DCD751F5DA66
Detection Rate: 13 on 24 (54,16 %)
Status: INFECTED
Antivirus Sig version Engine Version Result

a-squared 27/03/2009 4.0.0.32 -
Avira AntiVir 7.1.2.222 8.1.2.12 TR/PSW.Papras.N
Avast 090326-0 4.8.1229 Win32:Vupa [Cryp]
AVG 270.11.30/2025 8.0.0.0 SHeur2.WNC
BitDefender 27/03/2009 7.0.0.2555 Trojan.PWS.Papras.N
ClamAV 27/03/2009 0.93.1.0 -
Comodo 1085 3.8 -
Dr.Web 27/03/2009 5.0 -
Ewido 27/03/2009 4.0.0.2 -
F-PROT 6 20090326 4.4.4.56 -
G DATA 19.3655 2.0.7309.847 -
IkarusT3 26/03/2009 1001044 Trojan-PWS.Papras
Kaspersky 27/03/2009 8.0.0.357 Trojan.Win32.Agent2.fsa
McAfee 26/03/2009 5.1.0.0 Generic.dx trojan
Malware Hash Registry 27/03/2009 N/A detect rate 42%
NOD32 v3 3967 3.0.677 Win32/Wigon
Norman 2009/03/26 5.92.08 Trojan W32/Agent.MEXE
Panda 07/02/2009 9.5.1.00 -
QuickHeal 26 March, 2009 10.0 Trojan.Agent2.fsa
Solo Antivirus 27/03/2009 8.0 -
Sophos 27/03/2009 4.32.0 Mal/EncPk-HJ
TrendMicro 923(592300) 1.1-1001 -
VBA32 27/03/2009 3.12.0.300 Trojan.Win32.Agent2.fsa
VirusBuster 10.102.24 1.4.3


Je vais regarder le tutoriel de suppression de Virut envoyé par une personne. Je vais essayer et je vous tiens au courant.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:23
si c'est la nouvelle variante,

voici ce qui arrive(par wawaseb)

Patch des fichiers -> se relance à la moindre fausse manoeuvre

Clefs RUN + RUN dans POLICIES

Ré-infection avant reboot (CF est ré-injecté avant de pouvoir se relancer !)

Injection des exécutables utilisés dans nos outils avant même qu'ils ne soient utilisés.

Destruction du driver réseau "ndis.sys"

Présence des %num%.tmp dans le dossier système + un fichier .BAT prêt à relancer le faux "services.exe"

Utilisation de noms connus : %windir%\services.exe, c++.exe et reader_s.exe (qui se lance à partir de
plusieurs endroits différents !)

Utilisation de technique de rootktits (noms différents, aléatoires)

Combinaison avec d'autres infections

Utilisation des techniques de débogage de Windows pour relancer l'infection (bootstat.dat, NTSD, dumprep.exe)

Corruption du fichier HOSTS dans le même but

Récupération des fichiers dans les quarantaines (CF par exemple) !

Modifie les clefs SAFEBOOT !

Un oubli et... tout revient !


0
Réponse 6 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:25
et quand je vois la f2!!!!

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gcc.exe,C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\windres.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ndetect.exe,C:\WINDOWS\system32\c++.exe,


il y a 99% de chances que ce soit du virut
0
Réponse 7 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
26 mars 2009 à 13:26
Salut,

Il n'y a pas de doute :

C:\WINDOWS\System32\reader_s.exe
C:\Documents and Settings\Momohamed\reader_s.exe
0
Réponse 8 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:27
C:\WINDOWS\System32\reader_s.exe

je l'ai eu sous cutwail aussi
0
Réponse 9 / 13
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
26 mars 2009 à 13:28
Par rapport à la procédure de Wawaseb :

"Utilisation de noms connus : %windir%\services.exe, c++.exe et reader_s.exe (qui se lance à partir de
plusieurs endroits différents !)"
0
Réponse 10 / 13
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
26 mars 2009 à 13:29
oui,oui,
je pense aussi que c'est du virut...
0
Réponse 11 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 mars 2009 à 09:38
refais le scan pour voir si il en trouve encore puis fais un escan
0
Morgangan
27 mars 2009 à 10:08
Un escan? oO

C'est quoi?
0
Réponse 12 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 mars 2009 à 13:54
escan (Kaspersky Trial)pour info:



https://www.malekal.com/supprimer-win32virut/




si malgrés escan et dr web cela persiste il faudra formater!
0
Morgangan
27 mars 2009 à 14:08
Bon j'ai refait une analyse avec Escan et apparement mon système est clean, de plus la fenetre qui s'affichait au démarrage n'apparaît plus. Je pense que le virus est détruit :)


Merci à tous j'espère que ça aidera ceux qui ont eu le même problème en tout cas quelle belle galère !

[Résolu]
0
Réponse 13 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 mars 2009 à 14:50
ok
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses