Novice demande coup de main svp

Résolu
COCO012 Messages postés 67 Statut Membre -  
COCO012 Messages postés 67 Statut Membre -
bonjour,
j'ai des virus sur mon pc.
config: Windoxs xp SP3, Avast Edition familiale 4.8
voici la liste des virus après mise en quarantaine de Avast:
A0072873.exe dans C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP315 (virus malware-gen)
kernel32.dll dans C:\WINDOWS\System32
kernel32.dll dans C:\WINDOWS\System32
kernel32.dll dans C:\WINDOWS\System32
Live-Player_setup.exe dans C:\Documents and settings\Utilisateur\Mes documents\Téléchargements (virus Win32 trojan-gen {other})
Live-Player_setup.exe dans C:\Documents and settings\Utilisateur\Mes documents\Téléchargements (virus Win32 trojan-gen)
vfnce.exe dans C:\Documents and settings\Utilisateur\local settongs\application data (virus Win32 malware-gen)
winsock.dll dans C:\WINDOWS\System32
wsock32.dll dans C:\WINDOWS\System32
wsock32.dll dans C:\WINDOWS\System32
pourriez-vous m'aider à les nettoyer sans abimer le pc svp
merci d'avance

14 réponses

  1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Il faudrais déjà passer a la version 5 d'avast

    Poste ce rapport pour commencer :

    * Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
    * Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
    * Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
    * Poste le contenu de log.txt ainsi que info.txt
    ( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
    "si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)
    0
  2. COCO012 Messages postés 67 Statut Membre 1
     
    merci pour cette première aide truecode. j'ai téléchargé la dernière version d'avast 5.0 et j'ai lancé un scan minutieux.
    la seule menace détectée c'est WMA:Wimad [Drp] qui est en quarantaine.
    les autres virus n'apparaissent plus.
    j'ai télécharger RSIT, je te joint les 2 fichiers du rapport.
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijqU6fEM7.txt
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijm2JKRUN.txt
    merci beaucoup
    0
  3. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Alors on va commencer par nettoyer l'infection de type Eorezo qui est présente sur ton pc :

    *Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau.

    /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

    *Double-clique sur le fichier téléchargé AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Scanner.
    *Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    0
  4. COCO012 Messages postés 67 Statut Membre 1
     
    ok c'est bon voilà le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijFJptmJb.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Essai de poster a la suite avec un message et non en commentaire merci .

    On passe au nettoyage :

    Relance AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Nettoyer.
    *Poste le nouveau rapport
    0
  7. COCO012 Messages postés 67 Statut Membre 1
     
    .voilà le rapport du nettoyage:

    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 23/03/10 à 14:00
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 11:29:58 le 26/03/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: CASSE-152D9EEFD | Utilisateur actuel: Utilisateur (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
    C:\Documents and Settings\Utilisateur\Application Data\Bandoo
    C:\Documents and Settings\Utilisateur\Application Data\EoRezo
    C:\Documents and Settings\Utilisateur\Application Data\pdfforge
    C:\Documents and Settings\Utilisateur\Application Data\Search Settings
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\EoRezo
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Iminent
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\vfnce.dat
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\vfnce_nav.dat
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\vfnce_navps.dat
    C:\Program Files\Application Updater
    C:\Program Files\EoRezo
    C:\Program Files\Everest Poker
    C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    C:\Program Files\pdfforge Toolbar
    C:\WINDOWS\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\EoRezo
    HKCU\Software\fcn
    HKCU\Software\Grand Virtual
    HKCU\Software\Iminent
    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\pdfforge
    HKCU\Software\Search Settings
    HKCU\Software\Titan Poker
    HKLM\Software\Application Updater
    HKLM\Software\bandoo
    HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
    HKLM\Software\Classes\AppID\EoRezoBHO.DLL
    HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Classes\EoRezoBHO.EoBho
    HKLM\Software\Classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
    HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
    HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
    HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
    HKLM\Software\EoRezo
    HKLM\Software\Iminent
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ca15f540-72eb-4966-a936-ee71aeec2d55
    HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SearchTheWeb
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vfnce
    HKLM\Software\pdfforge
    HKLM\Software\Search Settings
    HKLM\Software\Titan Poker
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run|vfnce
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|IMBooster
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Iminent.Notifier
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.2pre (fr) *
    .
    C:\Documents and Settings\Utilisateur\..\tknblztu.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Utilisateur\\Mes documents\\Mes images
    C:\Documents and Settings\Utilisateur\..\tknblztu.default\prefs.js - browser.startup.homepage: hxxp://y.lo.st
    C:\Documents and Settings\Utilisateur\..\tknblztu.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.2
    .
    EFFACÉ: C:\Documents and Settings\Utilisateur\..\tknblztu.default\prefs.js - user_pref("browser.startup.homepage", "hxxp://y.lo.st");
    .
    * Internet Explorer Version 6.0.2900.5512 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp: 0 Fichier(s), 56 Dossier(s)
    C:\WINDOWS\temp: 4 Fichier(s), 20 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 15 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 84 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 8117 Octet(s)
    C:\Ad-Report-SCAN[1].txt - 8108 Octet(s)
    .
    Fin à: 11:31:54, 26/03/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  8. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bien maintenant :

    *Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

    *Double clique sur le fichier téléchargé
    *Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
    *Quand la mise à jour est terminé va dans l'onglet scanner
    *Tu sélectionne "Exécuter un examen complet"
    *Puis tu clique sur"Rechercher"

    L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    *L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
    *Maintenant tu clique sur "Ok" pour poursuivre.
    *Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
    *Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
    *Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
    *Le Bloc-notes va s'ouvrir avec le rapport d'analyse
    *Fais un copier coller de ce rapport etposte-le dans ton prochain message.
    0
  9. COCO012 Messages postés 67 Statut Membre 1
     
    voilà c'est fait:
    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3917
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    26/03/2010 16:58:53
    mbam-log-2010-03-26 (16-58-53).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|I:\|)
    Eléments examinés: 173495
    Temps écoulé: 17 minute(s), 4 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074886.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074762.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074763.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074884.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074887.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074910.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{F89AD493-BE4D-49F1-AE53-3FC2B9E3D2AF}\RP348\A0074911.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
    0
  10. COCO012 Messages postés 67 Statut Membre 1
     
    j'ai déjà ccleaner sur mon pc. est-ce que je dois sélectionner toutes les options dans Windows et Applications pour le scan? (pour l'instant je n'ai que les options Windows\Système qui sont sélectionnées
    merci
    0
    1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
       
      lance un nettoyage complet
      0
  11. COCO012 Messages postés 67 Statut Membre 1
     
    je ne peux pas envoyer le rapport en réponse au message, le voilà en fichier joint
    désolée
    http://www.cijoint.fr/cjlink.php?file=cj201003/cij5Jfq8wV.txt
    0
  12. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Je ne vois plus de trace d'infection on va supprimer les outils utilisés .
    Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.

    *Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton Bureau
    *Double-clique sur ToolsCleaner2.exe et laisse le travailler
    *Clique sur Recherche et laisse le scan se terminer.
    *Clique sur Suppression pour finaliser.
    *Tu peux, si tu le souhaites, te servir des Options facultatives.
    *Clique sur Quitter, pour que le rapport puisse se créer.
    *Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
    0
  13. COCO012 Messages postés 67 Statut Membre 1
     
    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Rsit: trouvé !
    C:\Ad-remover: trouvé !
    C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
    C:\Documents and Settings\Utilisateur\Bureau\Ad-R.exe: trouvé !
    C:\Documents and Settings\Utilisateur\Bureau\Rsit.exe: trouvé !
    C:\Program Files\trend micro\HijackThis.exe: trouvé !
    C:\Program Files\trend micro\hijackthis.log: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
    C:\Documents and Settings\Utilisateur\Bureau\Ad-R.exe: supprimé !
    C:\Program Files\trend micro\HijackThis.exe: supprimé !
    C:\Documents and Settings\Utilisateur\Bureau\Rsit.exe: supprimé !
    C:\Program Files\trend micro\hijackthis.log: supprimé !
    C:\Rsit: supprimé !
    C:\Ad-remover: supprimé !
    0
    1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
       
      Voilà si tu n'a plus de questions je te laisse mettre ton sujet comme résolu
      0
  14. COCO012 Messages postés 67 Statut Membre 1
     
    je te remercie beaucoup
    0