Interpretation hijakthis,suppression de virus Fermé

Question

Bonjour,

Je viens d'installer Avast  sur un  pc que je n'ai pas utilisé depuis longtemps 
Lors du  démarrage, avast n'a pu scanné que 40% du disque dur 

Une fenêtre avast  me signale constament que le fichier C:/ autorun. inf est infecté par un logiciel malveillant : vbs malware -gen  witegory de type virus /ver  et que le fichier D:/p3r;lud .exe est infecté par un logiciel malveillant :win 32 . oliga ( trj) de type cheval  de troie .

Comment faire  pour les supprimer , j'ai beau cliquer sur mettre en quarentaime ou sur supprimer , le même message revient quand même . 

Pouvez vous aussi intérprêter mon hijakthis ? 


Merci par avance .

Destrio5 · Accepted Answer

Salut,

--> Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Ross-D · Answer

Merci pour ton aide ,


Voici le rapport: 


############################## [ UsbFix V3.006 ] 

# User : poste (Administrateurs) # POSTE-
# Update on 11/04/09 by C_XX & Chiquitine29
# Start at: 16:16:17 | 12/04/2009

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090411-0] 4.8.1335 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 38,09 Go (27,52 Go free) # NTFS
# D:\ # Disque fixe local # 36,41 Go (36,08 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 3,84 Go (3,63 Go free) # FAT32
# G:\ # Disque amovible # 122,1 Mo (10,15 Mo free) # FAT
# H:\ # Disque amovible # 249,71 Mo (0,84 Mo free) [USB DISK] # FAT
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PROMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ] 

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="poste" 
HKLM_logon: "AltDefaultUserName"="poste" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe 
HKLM_Run:    SoundMan=SOUNDMAN.EXE 
HKLM_Run:    PROMon.exe=PROMon.exe 
HKLM_Run:    avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    kava=C:\WINDOWS\system32\kavo.exe  

################## [ Informations ] 
 
# Contenu de l'autorun C:\autorun.inf 
;D5w4L4kAj3kaesakikfsZdaqsO4i1wmKAA4CaHlr2r4SKwLeaikw5I4D27jlfkaqDXqKjdkas0i5i3waKfrads0ro89aw40s0oA
[AutoRun]
;LsisDj4Ja8wKiod3AkoDij1IdwLLw34Kk23qrq
open=p3r1ud.exe
;odjJXeK
shell\open\Command=p3r1ud.exe
;DLKorKe7j0krKjp5Ad2oa2lsflid6swDa03r3jw3LdwiLd4wD
shell\open\Default=1
;7okaodsljc3wiKrp3l2352ds5KKlsA29p02skAjqL4ADfoLiwaDLlkfK9kqIU4e3kDKaqqK5Zw
shell\explore\Command=p3r1ud.exe
;k0si53i1a54pfsLwlil9KJjwkjsSojplKwfadldKq23i2wf4s5341rkkcAkkdwwa5wsakq35ldli
 
# Contenu de l'autorun H:\autorun.inf 
[autorun]
shellexecute = antihost.exe
 

################## [ Fichiers # Dossiers infectieux ] 

Found ! C:\WINDOWS\system32\kavo.exe  
C:\autorun.inf # -> fichier appelé : "C:\p3r1ud.exe" ( absent ! )  
Found ! C:\autorun.inf  
Found ! H:\autorun.inf  
 
################## [ Registre # Clés infectieuses ] 
 
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kava"    
 
################## [ Registre # Mountpoint2 ] 
 
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\AutoRun\command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\explore\Command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\open\Command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2375819-2766-11de-8905-00042333bdd4}\Shell\AutoRun\command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\AutoRun\command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\explore\Command  
Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\open\Command  

################## [ ! Fin du rapport # UsbFix V3.006 ! ]

Destrio5 · Answer

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Ross-D · Answer

Voici le log : 


############################## [ UsbFix V3.006 ] 

# User : poste (Administrateurs) # POSTE-
# Update on 11/04/09 by C_XX & Chiquitine29
# Start at: 16:44:46 | 12/04/2009

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090411-0] 4.8.1335 [ (!) Disabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 38,09 Go (27,53 Go free) # NTFS
# D:\ # Disque fixe local # 36,41 Go (36,08 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 3,84 Go (3,63 Go free) # FAT32
# G:\ # Disque amovible # 122,1 Mo (10,15 Mo free) # FAT
# H:\ # Disque amovible # 249,71 Mo (0,84 Mo free) [USB DISK] # FAT
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ] 

Deleted ! C:\WINDOWS\system32\kavo.exe    
Deleted ! D:\p3r1ud.exe    
Deleted ! F:\p3r1ud.exe    
Deleted ! H:\autorun.inf    
 
################## [ Registre # Clés infectieuses ] 
 
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kava"    
 
################## [ Registre # Mountpoint2 ] 
 
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\AutoRun\command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\explore\Command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7712e972-d020-11dc-88ff-00042333bdd4}\Shell\open\Command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b2375819-2766-11de-8905-00042333bdd4}\Shell\AutoRun\command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\AutoRun\command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\explore\Command    
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2b41901-2437-11dc-80bb-806d6172696f}\Shell\open\Command    
 
################## [ Listing des fichiers présent ] 

C:\AUTOEXEC.BAT  
C:\NTDETECT.COM  
C:\boot.ini  

################## [ ! Fin du rapport # UsbFix V3.006 ! ]

Destrio5 · Answer

--> Désinstalle UsbFix.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Ross-D · Answer

1 er rapport :

Logfile of random's system information tool 1.06 (written by random/random)
Run by poste at 2009-04-12 16:53:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 28 GB (72%) free of 39 GB
Total RAM: 1151 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:51, on 12/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\poste\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\poste.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Destrio5 · Answer

Je ne vois pas d'autre infection.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Ross-D · Answer

Une petite question : Ce scane à pour but de scanner le disque local  seulement ? Car j'ai retiré les clefs usb que j'ai mis  avant . 

Aussi, Je ne sais pas si c'est important , mais quand je me connecte à mes boites mail , un message m'informe que la connexion n'est pas sécurisée . 

Voici le rapport :

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1970
Windows 5.1.2600 Service Pack 2

12/04/2009 17:13:06
mbam-log-2009-04-12 (17-13-06).txt

Type de recherche: Examen rapide
Eléments examinés: 67786
Temps écoulé: 2 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\poste\Local Settings\Temporary Internet Files\Content.IE5\KT63OPMR\zz[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Destrio5 · Answer

"Une petite question : Ce scane à pour but de scanner le disque local seulement ?"
---> Oui.

---> Relance MBAM, va dans Quarantaine et supprime tout.

Ton PC va bien ?

Ross-D · Answer

C'est bon j'ai supprimé comme  tu l'as indiqué plus haut . merci  pour ton aide .

 Le pc ? il n'allait pas bien il y'a une année, je n'arrivais pas ouvrir une session . Aujourd'hui j'ai démarré  en mode sans échec puis je l'ai redémarré et tout est rentré dans l'ordre! Puis avast a détécté des virus que nous avons supprimé. . 

Sinon, je pense qu'il va bien : Je viens de verrifier, word fonctionne bien ,  Lecteur windows média  où se trouvent mes fichiers de musque, fonctionne  et  la navigation sur internet se fait apparement sans problème .

Il y'a juste ce message lorsque he me connecte sur  mes boites mail  qui m'indique que  le connexion n' est pas sécurisée et que d'autres  utilisateur du web peuvent  accéder mes information, qui m'inquiète .

Destrio5 · Answer

C'est une boîte MSN ?

Ross-D · Answer

non non , c'est une boitemail (gmail et yahoo.fr)

Destrio5 · Answer

Installe Internet Explorer 7 pour voir.

Ross-D · Answer

Je peux sans riques sur ce site ? 

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

Il faut que  je supprime l'ancienne version , c'est bien cela , dans ajout suppression de programme ? Le problème c'est qu'Internet ne s'y trouve pas.

Destrio5 · Answer

Non, tu ne supprimes pas l'ancienne version.

Pas de problème pour le lien.

Interpretation hijakthis,suppression de virus

15 réponses

Discussions similaires

Newsletters