Problème: Win32:JunkPoly [Cryp] / Win32:Vitro Fermé

Question

Bonjour,

J'ai chopé ces virus et je ne sais pas comment m'en débarrasser...
J'ai avast qui ne dit que plein de .exe sont des virus...

J'ai fais un ccleaner (j'ai décocher moins de - jours),
j'ai fait un Malwarebytes qui m'a trouvé des virus,
... mais j'ai toujours mon problème. De plus quand je démarre ma bécane j'ai un bel écran bleu, je dois faire ctrl alt supr puis "explorer" pour avoir le bureau.

Voici mon hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:10, on 29/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21045)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\explorer.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\D-Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird	hunderbird.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:WINDOWSsystem32GPhotos.scr...
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:PROGRA~1MICROS~2Office12EXCEL.EXE...
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c98585ffd575b6) (gupdate1c98585ffd575b6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.33\bin\mysqld.exe

kevin05 · Answer

Salut ! T'es mal barré,vitro=virut /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage. Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows. Sous XP Sous Vista **Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles. =========> A Lire , Impératif !!!!<========= Télécharges Combofix : Et important, enregistre le sous "moi.exe" sur le bureau. Avant d'utiliser ComboFix : ______________________________________________________________________ ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° Une fois fait, sur ton bureau double-clic sur "moi.exe" - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. /!\ Pendant la durée de cette étape, ne te sert pas du pc ni de tout autre periphérique ,et n'ouvre aucun programme. - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

imencity · Answer

Merci de ta réponse kevin05.

Je ne peux ni accéder au site d'antivirus, ni au site de microsoft...
donc je n'ai pas accès à https://support.microsoft.com/en-us/help/310994
Ce fichier existe t-il ailleurs (XP) ?

Est-il possible de se débarrasser de virut ?
De mon côté de cherche sur google 310994.

kevin05 · Answer

Re,
Prend Combofix ici :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijKUVcDjn.zip (je l'es renommé)

imencity · Answer

Merci,
J'ai bien récupérer ton fichier, mais le crosoft 310994, impossible, je le trouve pas en miroir sur le net...
J'en ai vraiment besoin ?

imencity · Answer

Bon j'ai lancé l'exe... et un message d'erreur arrive:

/****
Il est dangereux de continuer
le contenu du packetage ComboFix a été détérioré.
Veuillez télécharger un nouvel exemplaire...

NOTE: Votre PC est peut-être infecté par un virus modifiant les fichiers, 'virut'
***/

J'ai donc retélécharger à nouveau le fichier, même message:
Euh, qu'est-ce que je fais maintenant ?

kevin05 · Answer

T'es vrément mal barré..

Une fois que tu as téléchargé les 3 Logiciels 

COUPE TON ORDI D'INTERNET 

Debranche le cable ethernet ! 


Tu as une infection Virut, qui est très virulente et difficile à désinfecter. Le formatage est souvent la seule issue.
Cette infection se propage le plus souvent par deux moyens : les cracks et keygens (si tu en as, ne les garde pas et n'en télécharge plus jamais) et par des disques amovibles infectés (clés USB, disques durs externes, lecteurs mp3... qu'il va falloir désinfecter).

• Pour commencer, tu dois impérativement sauvegarder tes documents, de préférence sur CD ou DVD. Ne sauvegarde surtout aucun fichier exécutable (correspondant à des programmes : extensions .exe, .scr, ou dossier compressé en contenant...), seulement des documents.
Si ton ordinateur est en réseau, isole le des autres.



• Exceptionnellement pour cette infection, il faut désactiver la restauration du système tout de suite (tu la réactiveras à la fin de la désinfection... ou après le formatage) :
Windows xp :
- Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés.
- Sélectionne l'onglet restauration du système
- Coche l'option Désactiver la restauration du système sur tous les lecteurs
- Clique sur OK.

Windows Vista :
- Menu démarrer --> clic droit sur ordinateur --> propriétés --> protection du système
- Désactive la restauration du système sur tous les lecteurs
- Clique sur OK.

• Enfin, si tu veux essayer de désinfecter, aide toi des 3 programmes suivants :
eScan Antivirus Toolkit
AVPTool
DrWeb CureIt 

• Ensuite, tu dois désinfecter tous tes disques amovibles avec un antivirus et avec FlashDisinfector

Attention :
- Il faut faire tous ces scans en étant totalement déconnecté d'internet (débranche les cables et/ou désactive le Wi-Fi) sinon c'est inutile.
- Lorsque quelque chose sera détecté lors des scans, tu devras choisir "Désinfecter" si possible, sinon "Supprimer".
-Faire les scans en mode sans echec

imencity · Answer

Bon,
Comme je ne pouvais pas me rendre sur les sites des anti-virus, et que les .exe sont de toute façon modifier...
J'ai, depuis un autre PC, graver un CD et hop... en mode sans échec j'ai pu lancer Kaspersky... qui m'a déjà trouvé 109 fichiers infecté (mais non traité encore), en 3/4 d'heures de scan, soit 2% de c:...
J'en ai pour la nuit au moins.

A noter que DrWeb c'est bloqué avant son lancement. Plus précisément, le virus à bloqué DrWen mais pas Kaspersky. Dès que Kaspersky a fini, je tente le troisième, puis DrWeb.
Je finirais pas le liveCD Avira.
Dès que tou sera OK, je repasse en mode normal puis je ferais un autre scan pour être sûr.

J'ai vu ici et là que Avast n'était pas conseillé... pas assez performant d'après-vous ?
Souvent, antivir est cité à la place. Je ne le connais pas, est-il mieux ?
J'étais très content de McAffe mais qui est payant :-(
J'attends de voir ce que crosoft va nous faire avec son anti-virus gratuit, peut-être qu'il sera bien on peut rêver.

avast et antivir peuvent-il tourner ensemble avec spybot ?

Je posterais les résultats de mes scans ici pour aider ceux qui sont dans la même situation que moi.

imencity · Answer

Bon,
Kaspersky a scanné toute la nuit et m'a trouvé plus de 3600 fichiers vérolés... donc supprimés (désinfection impossible).
Je suis bon pour réinstall de windows après au vu de ces fichiers !

DrWeb fait son scan (il a pu maintenant partir - avant il était bloqué), il m'a trouvé 5 virus et il en est au tiers.
Voiloù... à bientôt pour la suite.