Win32: vitro... Securtity tools VIRUS Fermé

Question

Bonjour, j'ai un gros problème j'ai choppé un malware avant-hier intitulé Security tools et j'ai essayé de le retirer après avoir lu les différents sujets...

 J'ai utilisé le msconfig pour le désactiver au démarage de l'ordi parce qu'il empêchait toutes les applications de s'executer et au bout de 10 sec le bureau disparaissait...

Sauf que maintenant, (il ne se lance plus au démarage) j'essaye de le supprimer et je ne le trouve nul part j'ai utilisé Hijackthis mais il ne le trouve pas (enfin je crois)... 

J'ai donc fait un scan avec malwarebytes il m'a trouvé une vingtaines de fichiers infectés que j'ai mis en quarantaine...

Mais je me suis vite apperçu que cela n'avait servi à rien puisque mon ordinateur tourne au ralentit, quand je regarde dans les processus je m'apperçois que j'ai plein de fichiers svchost.exe qui tournent et me bouffent toute la ram...Même si c'est normal d'avoir quelque fichiers svchost là il y en a une 20 aines et certain bouffe complétement la RAM (Avant de choper le virus ça ne le faisait pas et je n'avais que 3-4 svchost.exe)

j'ai donc lancé avast mon antivirus et il m'a signalé que mon ordi avait un virus (nan sans blagues !) et qu'il voulait me faire un scan complet au redémarage... 
J'ai fait le scan d'avast qui m'a pris 2 h et enfaite j'ai deux autres virus nommé Win32 vitro et JunkPoly qui ont infecté un bon nombre de fichiers...Je me suis renseigné et apparemment Win32 vitro est un nouveau virus détecté par la mise à jour d'avast et qui infecte les .exe... Bref je me trompe surement quelque part mais la j'ai vraiment besoin d'aide je ne sais plus quoi faire :/...

Merci à ceux qui pourront m'aider !


Je vous poste mon rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:21, on 06/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32undll32.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://join.clonecashsystem.com/track/NjU1ODMuMjYuMzEuMzUuMC4wLjAuMC4w
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.net-studio.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = search.net-studio.org
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\Windows\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Arnaud\AppData\Local\Temp\IXP001.TMP\"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: fastnetsrv  Service (fastnetsrv) - Netopsystems A - C:\Windows\system32\FastNetSrv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: PremierOpinion - PremierOpinion - C:\Windows\system32\pmservice.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA HD DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)

gen-hackman · Answer

salut avant docteur web:

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation 

&#9654double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

&#9654colle le contenu dans ta prochaine réponse

Mootori_norinaga · Answer

Excuse moi mais je ne sais pas où aller pour désactiver mon antivirus :-(

gen-hackman · Answer

fais le en mode sans echec

Mootori_norinaga · Answer

Aie !! ça y est mon ordi est planté, je ne peux plus le démarré...Quand j'essaye d'ouvrir ma session ils me disent "une modification non autorisé à était apporté à windows"...Puis la fenètre se ferme je ne peux pas entrer sur ma session

Je parle depuis un autre ordi là
Je crois que j'ai supprimer des fichier propre à windows lors du scan d'avast...

Merci d'avoir essayer de m'aider je crois que c'est foutu là merci encore je ne sais pas ce que je vais faire

Mootori_norinaga · Answer

Le mode sans échec fonctionne mais je ne peux pas me connecter à internet

gen-hackman · Answer

dans tous les modes qui soient proposés ?

Mootori_norinaga · Answer

Oufff j'ai réussi à restaurer mon système à une date antérieur et ma session s'ouvre normalement, par contre j'ai essayé de faire marcher List_killem comme tu me l'as indiqué il ne veut pas se lancer (même en mode sans échec)...Il y a un message qui dit "error occured. The program will be terminated"...

Voilà désolé de ne pas avoir répondu plus tôt :)

gen-hackman · Answer

ok

▶ Sauver les Docs sans les fichichiers cible.

il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé.

toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable).

Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime)
_______________________________________________

▶ Désactive la restauration système, pour cela , suis les instructions des liens:

Lien XP

Lien Vista
_________________________________________________

▶ Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista).
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
___________________________________________________

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Mootori_norinaga · Answer

Ok Merci beaucoup gen-hackman tu es très rapide en plus...Je vais m'occuper de faire tout ce que tu m'as dit mais pas dans l'immédiat...Je devais m'acheter un disque dur externe dans les jours à venir je crois que je vais allé me l'acheter demain du coup...Comme ça je sauvegarderai toute mes musique (je fais de la compo dans mon ptit home studio)...

Merci je te réponds dès que possible en espérant que tu seras là la prochaine fois

gen-hackman · Answer

pas de soucis mais fais vite et ne sers pas du pc sinon pour faire ca

Mootori_norinaga · Answer

Re bonjour, j'ai un soucis je ne peux pas suivre tes indications... 

Premièrement en effet si j'annule la restauration du système ma session ne pourra plus s'ouvrir. 

Secondement ToolsClean ne fonctionne pas quand je lance la recherche (il y a marqué "ne répond pas")...

Troisièmement il est impossible de télécharger le docteur Web sur aucuns sites tous les liens sont erronés...

Que dois-je faire?? Merci à toi...

gen-hackman · Answer

telecharge-le d un autre pc et grave-le pour ne pas l infecter

Mootori_norinaga · Answer

Re bonjour, voilà j'ai téléchargé docteur web depuis un autre ordi et je l'ai gravé...
J'ai effectuer l'analyse rapide en mode sans echec puis j'ai fais l'analyse complète...
Mais il y a eu un problème... A la fin de l'analyse complète (qui a duré presque 7 h) j'ai voulu enregistrer le rapport comme tu me l'avais indiqué mais à l'instant où j'ai cliqué sur "enregistrer le rapport" une fenêtre bleue est apparu subitement avec des inscriptions que je n'ai pas eu le temps de lire et 3 secondes après l'ordinateur s'est éteint de lui même...Je n'ai pas pu enregistrer le rapport ce que je peux te dire c'est qu'il y avait + de 2000 fichiers .exe contaminés par le virus Win32.Virut.56 et il y avait deux ou trois Trojan en plus...

J'ai donc refait une seconde analyse complète cette nuit et voici ce que le rapport me donne (3 fichiers contaminés seulement):

lsm32.sys;C:\Windows\system32;Trojan.Click.29573;Supprimé.;

623,6770.exe;C:\Documents and Settings\Arnaud\DoctorWeb\Quarantine;Trojan.MulDrop.origin;Irréparable.Quarantaine.;

Keygen_0.exe;C:\Documents and Settings\Arnaud\DoctorWeb\Quarantine;Win32.Virut.56;Irréparable.Quarantaine.;

Mootori_norinaga · Answer

Si tu veux le nom des Trojans détéctés à la première analyse les voici (je l'ai avais noté sur un papier):

Trojan.Click.29644
Trojan.siggen
Trojan.MulDrop.origin
Trojan.Bfkq

gen-hackman · Answer

bien suite :

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

    * Téléchargez le scanner portable AVPTool sur votre Bureau.



---> Pour redémarrer en mode sans échec :
- Redémarrez ton PC.
- Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisissez Mode sans échec.
- Choisissez votre session habituelle.

    * Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    * Répondez Oui à la question Do you want to continue installation ?.
    * Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
    * L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
    * Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    * A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    * Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
    * Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
    * Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
    * Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
    * Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
    
====================================

* Postez le rapport sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Mootori_norinaga · Answer

Aie Aie Aie j'ai encore un problème...J'ai essayé de télécharger AVPTool depuis mon ordinateur et il m'ont dit que le fichier source ne pouvait être trouvé (ou lancer je sais plus)...

J'ai donc télécharger AVPTool depuis un autre ordinateur et je l'ai gravé...

Malheureusement en mode sans échec j'obtiens le message suivant lorsque j'essaye de lancer AVPTool:

"The setup fils are corrupted. Please obtain a newcopy of the program"

:'(

gen-hackman · Answer

une question :

DrWeb tu l'as bien lancé directement du cd ?

tu ne l as pas copié sur le bureau avant au moins ?

Mootori_norinaga · Answer

Oui je l'ai bien lancé du CD, pareil pour AVPTool

gen-hackman · Answer

relance DrWeb comme plus haut il a du en rater

Mootori_Norinaga · Answer

Re bonjour, j'ai refais une analyse rapide du Docteur web (après avoir déjà fait une analyse complète) et il ne m'a trouvé aucun fichier... J'ai donc réessayé de lancer AVPTool et ça a marché...11h d'attente lol

Voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj200911/cijcwvshwJ.txt


A noter que sur ma page windows une erreur apparait de temps en temps qui me dit "Adreas Hausladen" a cessé de fonctionner et a été arrêté...Ca n'a peut être aucun rapport ;-)

gen-hackman · Answer

on va faire encore un long scan par securité :

( il suffit qu'il reste un seul fichier infecté non detecté pour que ca reparte de plus belle)

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

Étape 1 :

    * Téléchargez eScan Antivirus Toolkit sur votre Bureau.
    * Double-cliquez le fichier mwav.exe qui se trouve sur le Bureau ; dézippez les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer et vous devez le quitter (cliquez sur Exit puis Exit).
    * Double-cliquez sur le Poste de travail (Ordinateur sous Vista), puis double-cliquez sur le lecteur principal (habituellement C:\), double-cliquez sur le dossier Kaspersky ; ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
    * Lorsque la mise à jour sera complétée, vous verrez Press any key to continue ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
    * Sélectionnez/copiez tous les fichiers présents dans le dossier C:\Downloads, puis collez-les dans le dossier C:\Kaspersky. Acceptez à l'invite de remplacer les fichiers existants.



Ne pas lancer le scan tout de suite !

Étape 2 :

    * Redémarre ton PC.
    * Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    * Dans le menu d'options avancées, choisis Mode sans échec.
    * Choisis ta session.



Étape 3 :

    * Pour lancer eScan Antivirus Toolkit, trouvez le fichier mwavscan.com situé dans le dossier C:\Kaspersky.
    * Double-cliquez sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
    * Il est très important de bien cocher ces cases sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
    * Cochez la case Drive, ce qui donne accès à une nouvelle case Drive (bouton rond) juste dessous ; cochez ce bouton Drive (très important...), et vous verrez une nouvelle boîte de navigation apparaître à la droite. Cliquez sur la petite flèche de cette boîte and choisissez la lettre de votre disque dur, habituellement C:\.
    * Juste au-dessous, assurez-vous que Scan All Files est coché et non Program Files.
    * Cliquez sur Scan Clean et laissez le tool vérifier tout le disque dur (ça peut être long...). Lorsque terminé, vous verrez Scan Completed. Ne pas quitter tout de suite !
    * Ouvrez un nouveau fichier Bloc-notes (cliquez sur "Démarrer" > "Programmes" > "Accessoires" > "Bloc-notes"), puis copiez/collez tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegardez-le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
    * Fermez le programme. Redémarrez votre PC en Mode normal. Postez (copiez/collez) le rapport que vous avez sauvegardé dans votre sujet si vous en avez créé un.

Mootori_Norinaga · Answer

Salut, J'ai un problème avec eScan Antivirus Toolkit je le télécharge je le dézip vers C:/Kaspersky mais ensuite arrive un message d'erreur lorsque j'essaye d'effectuer les mises à jours...Quand je clique sur kvupd.exe il y a marqué dans la fenetre noire "Initialize failed".

J'essaye ensuite de faire démarrer le programme en cliquant sur mwav.exe et là un message d'erreur apparait "Internal Error!!! This could be because of incorrect system date setting. If not, send log file to support@mwti.net"
A noter que la première fois où j'ai essayé de faire les mises à jours Spybot s'est ouvert en m'annoçant que j'essayé d'ouvrir un programme malveillant, j'ai cliquer sur "autoriser le programme" mais j'ai l'impression que spybot l'a quand même bloqué...

Que dois-je faire??

Merci d'être toujours présent après 22 messages à galérer lol

gen-hackman · Answer

desactive le resident de spybot et retente les m.à.j

Mootori_Norinaga · Answer

Nan ça ne veut pas marcher toujours le même message d'erreur même lorsque je desactive le résident de Spybot

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Mootori_Norinaga · Answer

Voici le rapport comme prévu:

http://www.cijoint.fr/cjlink.php?file=cj200911/cij6mFNmVs.txt

gen-hackman · Answer

le rapport n est pas complet

Mootori_Norinaga · Answer

Voilà j'ai fait une analyse détaillée mais il y a eu un message d'erreur juste à la fin de cette analyse "Violation d'accès à l'adresse 00403006 dans le module "ZHPDag.exe" lecture de l'adresse 00001850"...

http://www.cijoint.fr/cjlink.php?file=cj200911/cijgaLJROs.txt

Si le rapport n'est pas complet j'essayerai par l'autre ZHPag car j'ai fait avec celui de Nicolas (je sais plus son nom)

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 clic droit "executer en tant qu'administrateur " sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:files
C:\Windows\System32\lsprst7.dll
C:\Windows\System32\lsprst7.tgz
C:\Windows\System32\ssprs.dll
C:\Windows\System32\ssprs.tgz
C:\Windows\System32\????,???.exe
C:\Windows\System32\161710.Bat

:commands
[emptytemp]
[start explorer]
[reboot]

&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

Mootori_Norinaga · Answer

Voici le rapport :-) :


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== FILES ==========
C:\Windows\System32\lsprst7.dll moved successfully.
C:\Windows\System32\lsprst7.tgz moved successfully.
C:\Windows\System32\ssprs.dll moved successfully.
C:\Windows\System32\ssprs.tgz moved successfully.
C:\Windows\System32\3936,731.exe moved successfully.
C:\Windows\System32\9097,102.exe moved successfully.
C:\Windows\System32\9854,548.exe moved successfully.
C:\Windows\System32\161710.BAT moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Arnaud
->Temp folder emptied: 37426079 bytes
->Temporary Internet Files folder emptied: 146012 bytes
->Java cache emptied: 16954781 bytes
->FireFox cache emptied: 60897067 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 7294878 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 117,07 mb
 
 
OTL by OldTimer - Version 3.1.4.0 log created on 11102009_143900

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\Windows	emp\mta13187.dll moved successfully.

Registry entries deleted on Reboot...

gen-hackman · Answer

retente le post1 stp

supprime , retelecharge et lance-le "executer en tant ........" avec le clic droit

Mootori_Norinaga · Answer

Excuse moi je n'ai pas bien compris, ce que tu appeles le post1 c'est quoi? :/

Tu veux parler de eScan Antivirus Toolkit?

ric025 · Answer

Passage furtif....

Le post 1 est ici : https://forums.commentcamarche.net/forum/affich-15076431-win32-vitro-securtity-tools-virus#1

Je sors.
Bonne suite.
++

Mootori_Norinaga · Answer

j'ai essayé de lancer List Killem mais toujours un message d'erreur que ce soit en mode normal ou sans echec

"An unknown error occured. The program will be terminated"

gen-hackman · Answer

tu as desactivé l antivirus ?

Mootori_Norinaga · Answer

En mode normal je n'ai pas désactivé avast (d'ailleurs je ne sais pas comment faire), mais en mode sans echec il n'y a plus l'antivirus, non?

gen-hackman · Answer

bonjour j ai du m absenter 

quels soucis te reste-t-il precisement ?

Mootori_Norinaga · Answer

Salut gen, mon ordinateur fonctionne correctement depuis que tu t'es absenté, il est cependant un peu plus lent qu'avant et j'ai toujours une grosse dizaine de svchost lancés dans les processus...

Voilà tout

gen-hackman · Answer

hello


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Mootori_Norinaga · Answer

Voici le rapport


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3181
Windows 6.0.6001 Service Pack 1

17/11/2009 02:12:55
mbam-log-2009-11-17 (02-12-55).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 349341
Temps écoulé: 1 hour(s), 38 minute(s), 39 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 10
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 32

Processus mémoire infecté(s):
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\Windows\System32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\btwsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fastnetsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\fastnetsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fastnetsrv (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mBt (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udfa (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.SearchPage) -> Bad: (http://join.clonecashsystem.com/track/NjU1ODMuMjYuMzEuMzUuMC4wLjAuMC4w) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.SearchPage) -> Bad: (http://join.clonecashsystem.com/track/NjU1ODMuMjYuMzEuMzUuMC4wLjAuMC4w) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\System32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\opeia.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32	1p0_793505591980.b1k (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\wmdtc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\lsm32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1DFWHP9N\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1DFWHP9N\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1DFWHP9N\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Y02N1GE\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Y02N1GE\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Y02N1GE\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Y02N1GE\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Y02N1GE\w[6].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KR63KSQR\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KR63KSQR\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KR63KSQR\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KR63KSQR\w[6].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQO33XCH\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQO33XCH\w[2].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQO33XCH\w[3].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQO33XCH\w[4].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQO33XCH\w[6].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp	4m0_126189473157.bk.old (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp	mp0_213444752952.bk.old (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp	xpxr_39201534578.b1k (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\Temp	xpxr_547833370707.b1k (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp	xpxr_658309657641.b1k (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp	xpxr_856923214016.b1k (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Temp	xpxr_893289705339.b1k (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\Arnaud\Favorites\Clone Cash System.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Arnaud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

gen-hackman · Answer

ok reessaie Escan maintenant

Mootori_norinaga · Answer

Escan ne veut pas faire les mise à jours à chaque foi il y a marqué "failed"

gen-hackman · Answer

tu le fais en tant qu'administrateur avec le clic droit ?

Mootori_norinaga · Answer

Oui oui c'est étrange

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" _______________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ====================================================== ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Win32: vitro... Securtity tools VIRUS

45 réponses

Discussions similaires